如何修復被掛木馬的php網站
有個朋友的網站長期沒有人管理,而網站PR=4,於是網站被人攻陷,首頁加上了上百條黑鏈,找我幫忙修復
看到首頁密密麻麻的黑鏈,第一反應就是頭大。最簡單的辦法:格式化後重灌系統。但是這個伺服器web/資料庫都部署在同一臺上,資料規模有200多G,當初安裝的時候也沒有分割槽,線上遷移資料太麻煩了,只能硬著頭皮去修復問題,
修復步驟
-
停掉web服務,免得舊仇未報,又添新恨
-
找到被掛馬的漏洞。一定要找到,不然問題根本解決不了。伺服器被掛馬主要是兩種原因:sql注入或者某種系統性漏洞
-
sql注入,和程式碼有關係,不好查。但是隻要你的Nginx/PHP不是以root身份執行的,最多被拖庫,被掛馬的可能性不大
-
系統性漏洞,這個破壞性很大,但是都會比較著名,馬上有人提供解決方案,搜尋一下就能找到
所以,找到被掛馬的原因是: nginx檔案型別錯誤解析漏洞,這個漏洞很嚴重,php網站只要支援圖片上傳都會中招
-
-
修補漏洞,nginx檔案型別錯誤解析漏洞 這個漏洞比較好修復,在nginx configure檔案裡面配置一下即可
-
搜查木馬檔案,到程式碼安裝目錄執行下面命令
find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode"
搜出來接近100條結果,這個結果列表很重要,木馬都在裡面,要一個一個檔案開啟驗證是否是木馬,如果是,馬上刪除掉
最後找到10個木馬檔案,存放在各種目錄,都是php webshell,功能很齊全,用base64編碼
-
清理現場, 去掉首頁上的黑鏈,重啟web服務
安全經驗
- 普通伺服器被掛馬,不用緊張,按上述步驟進行修復
- 關鍵伺服器(比如部署了使用者資金/轉賬/交易 等服務),被掛馬之後,必須要格式化重灌,因為webshell的功能實在是非常齊全,攻擊者很可能替換掉系統關鍵程式,比如sshd,nginx等,從此大門開啟,隨便進出
- 伺服器安裝系統要分割槽,至少應該分 系統區和資料區 兩部分,這樣重灌系統的時候可以不用遷移資料
- 凡是提供外部埠的服務程式(web server,gate server),一定要用獨立的使用者執行,千萬不要圖省事,直接用root
相關文章
- 防止網站被掛馬的基本原則網站
- 網站被攻擊 如何修復網站漏洞網站
- 放假期間網站被掛馬的解決辦法網站
- PrestaShop網站漏洞修復如何修復REST網站
- 如何防止網站被侵入,如何防止網站被掛馬,如何防止網站被入侵?網站
- 網站被sql注入的修復方法網站SQL
- 網站如何修復保險破綻網站
- 【網站安全】網站被掛木馬與777許可權的奧妙網站
- 網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑網站
- 修復跨站攻擊 phpPHP
- 企業網站常見耗資源、大流量、被掛馬的原因分析與對策網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 網站漏洞測試php程式碼修復詳情網站PHP
- 多家高校網站被掛馬使用者應小心QQ盜號木馬網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- 網路駭客欺騙執行木馬的方法!(轉)
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 檢查電腦是否被掛馬的常用命令
- thinkcmf 網站最新漏洞修復方法網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 福建574政府網站被篡改 近6萬主機被木馬控制網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 【ASM】ASM磁碟頭被重寫,如何修復ASM
- 一個不坐旋轉木馬的朋友
- 框架網站漏洞修復防護方法框架網站
- 網站被黑該怎麼修復漏洞網站
- 區別木馬與病毒,以及識別與防治木馬的方法
- HTML+CSS編寫靜態網站-43 如何修復bugHTMLCSS網站
- 網站漏洞修復對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 修復網站漏洞對phpmyadmin防止被入侵提權的解決辦法網站PHP
- 蒼了個天了~網站被掛馬!網站
- “遊戲基地論壇”等網站被掛馬遊戲網站
- 一個支付寶木馬的分析溯源之旅
- 一次minerd肉雞木馬的排查思路
- SQL Server是否有特洛伊木馬的測試SQLServer
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站