網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑

近日，某一客戶網站伺服器被入侵，導致伺服器被植入木馬病毒，重做系統也於事無補，目前客戶網站處於癱瘓狀態，損失較大，透過朋友介紹找到我們SINE安全公司，我們立即成立安全應急處理小組，針對客戶伺服器被攻擊，被黑的情況進行全面的安全檢測與防護部署。記錄一下我們整個的安全處理過程，教大家該如何防止伺服器被攻擊，如何解決伺服器被入侵的問題。

首先我們來確認下客戶的伺服器，使用的是linux centos系統，網站採用的PHP語言開發，資料庫型別是mysql，使用開源的thinkphp架構二次開發而成，伺服器配置是16核，32G記憶體，頻寬100M獨享，使用的是阿里雲ECS伺服器，在被駭客攻擊之前，收到過阿里雲的簡訊，提示伺服器在異地登入，我們SINE安全技術跟客戶對接了阿里雲的賬號密碼以及伺服器的IP，SSH埠，root賬號密碼。立即展開對伺服器的安全應急處理。

登入伺服器後我們發現CPU佔用百分之90多，16核的處理都在使用當中，立即對佔用CPU的程式進行追查發現是watchdogs程式佔用著，導致伺服器卡頓，客戶的網站無法開啟狀態，檢視伺服器的頻寬使用佔用到了100M，頻寬全部被佔滿，一開始以為網站遭受到了DDOS流量攻擊，透過我們的詳細安全分析與檢測，可以排除流量攻擊的可能，再對watchdogs相關聯的程式檢視的時候發現了問題。伺服器被入侵植入了挖礦木馬病毒，植入木馬的手法很高明，徹底的隱藏起來，肉眼根本無法察覺出來，採用的是rootkit的技術不斷的隱藏與生成木馬。

找到了攻擊特徵，我們緊接著在伺服器的計劃任務裡發現被增加了任務，crontab每小時自動下載SO檔案到系統目錄當中去，該SO檔案下載下來經過我們的SINE安全部門檢測發現是木馬後門，而且還是免殺的，植入到系統程式進行偽裝挖礦。

知道木馬的位置以及來源，我們對其進行了強制刪除，對程式進行了修復，防止木馬自動執行，對系統檔案裡的SO檔案進行刪除，與目錄做防篡改部署，殺掉KILL惡意的挖礦程式，對linux伺服器進行了安全加固。那麼伺服器到底是如何被植入木馬，被攻擊的呢？經過我們SINE安全2天2夜的不間斷安全檢測與分析，終於找到伺服器被攻擊的原因了，是網站存在漏洞，導致上傳了webshell網站木馬，還留了一句話木馬，攻擊者直接透過網站漏洞進行篡改上傳木馬檔案到網站根目錄下，並提權拿到伺服器的root許可權，再植入的挖礦木馬。

如何防止伺服器被攻擊，被入侵

首先我們要對網站漏洞進行修復，對客戶網站程式碼進行全面的安全檢測與分析，對上傳功能，以及sql注入，XSS跨站，遠端程式碼執行漏洞進行安全測試，發現客戶網站程式碼存在上傳漏洞，立即對其進行修復，限制上傳的檔案型別，對上傳的目錄進行無指令碼執行許可權的安全部署，對客戶的伺服器登入做了安全限制，不僅僅使用的是root賬號密碼，而且還需要證照才能登入伺服器。如果伺服器反覆被駭客攻擊，建議找專業的網路安全公司來解決問題，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.專業的事，就得需要專業的人幹，至此伺服器被攻擊的問題得以解決，客戶網站恢復正常，也希望更多遇到同樣問題的伺服器，都能透過上面的辦法解決。