網站後門查殺檢測與清除

收到阿里雲的簡訊提醒說是網站存在後門，webshell惡意通訊行為，緊急的安全情況，我第一時間登入阿里雲檢視詳情，點開雲盾動態感知，檢視了網站木馬的詳細路徑以及webshell的特徵，網站從來沒有出現過這種情況，一臉懵逼，無奈詢問度娘吧，百度搜尋了什麼是webshell,為了解決這個問題，我可是下了很大的功夫，終於瞭解清楚並解決了阿里雲提示網站後門的這個問題，記錄一下我解決問題的過程。

首先我們要知道什麼是網站後門？ （也叫webshell）

網站後門，是植入到網站目錄下以及伺服器路徑裡的一個網站木馬，主要利用網站程式碼的指令碼語言來進行後門的執行，像asp,aspx,php,jsp語言的指令碼檔案格式，都是可以在網站裡以後門的執行。很多強大的webshell，加密免殺性較好，很多安全軟體查殺不出來的，有些可以過WAF網站防火牆的追查，利用網站漏洞上傳後門的時候，可以繞過並直接上傳到網站目錄下，伺服器裡的防毒軟體根本沒有察覺。

網站後門使用的都是網站的80埠來進行訪問，利用指令碼語言的便利性來進行編寫後門程式碼，一個完整的後門通常都帶有主動連線的一個程式碼，可以對網站進行上傳，下載，修改，新建目錄，執行系統命令，更改檔名稱等管理員的操作。

從上面我們可以大體的瞭解什麼是網站後門了，那怎麼查詢呢？

首先我們看網站程式碼的修改時間，一般網站程式碼檔案的時間都是差不多的，突然有幾個檔案從最後修改時間上看可以看到日期是最近幾天修改的，那說明這個檔案很有可能被植入後門程式碼，點開程式碼檔案看一下最後幾行有沒有特殊的加密程式碼。

阿里雲的後臺也會顯示出網站木馬的路徑，可以根據阿里雲後臺的顯示進行刪除與隔離，但是網站後門是如何被上傳的，這個要搞清楚原因，一般是網站存在漏洞，以及伺服器安全沒有做好導致的被上傳的，如果網站漏洞沒有修復好，還是會繼續被上傳後門的，網站的漏洞修復，可以對比程式系統的版本進行升級，也可以找程式設計師進行修復，如果是你自己寫的網站熟悉還好，不是自己寫的，建議找專業的網站安全公司來處理解決網站後門的問題，像Sine安全,綠盟，啟明星辰那些專門做網站安全防護的安全公司幫忙處理。

再一個我們對每個程式碼檔案進行檢視，搜尋含有eval的特徵碼，以及POST{}、execute(request，等等的特徵碼，如果程式碼裡含有，那基本上就可以判定是網站後門了。對比之前網站的備份，檢視有沒有被篡改的程式碼檔案，如果有的話，請刪除多餘新增的程式碼。最後一種查詢網站後門的方式就是看網站的訪問日誌，每個網站都有日誌的，可以聯絡伺服器商，主機商要求他們提供最近一段時間的網站日誌，透過日誌，我們可以查到一些非法的訪問，尤其一些我們不熟悉的訪問地址，一般攻擊者都會訪問以下自己設定的後門，透過日誌就可以查到蛛絲馬跡。