服务器里如何查杀网站后门文件

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。

收到阿里云的短信提醒说是网站存在后门,webshell恶意通信行为,紧急的安全情况,我第一时间登录阿里云查看详情,点开云盾动态感知,查看了网站木马的详细路径以及webshell的特征,网站从来没有出现过这种情况,一脸懵逼,无奈询问度娘吧,百度搜索了什么是webshell,为了解决这个问题,我可是下了很大的功夫,终于了解清楚并解决了阿里云提示网站后门的这个问题,记录一下我解决问题的过程。

27ce261e15414710961dcbb42ceed951.png

首先我们要知道什么是网站后门? (也叫webshell)

网站后门,是植入到网站目录下以及服务器路径里的一个网站木马,主要利用网站代码的脚本语言来进行后门的运行,像asp,aspx,php,jsp语言的脚本文件格式,都是可以在网站里以后门的运行。很多强大的webshell,加密免杀性较好,很多安全软件查杀不出来的,有些可以过WAF网站防火墙的追查,利用网站漏洞上传后门的时候,可以绕过并直接上传到网站目录下,服务器里的杀毒软件根本没有察觉。

网站后门使用的都是网站的80端口来进行访问,利用脚本语言的便利性来进行编写后门代码,一个完整的后门通常都带有主动连接的一个代码,可以对网站进行上传,下载,修改,新建目录,执行系统命令,更改文件名称等管理员的操作。

471f2d1c285646068f217351ef6391a0.png

从上面我们可以大体的了解什么是网站后门了,那怎么查找呢?

首先我们看网站代码的修改时间,一般网站代码文件的时间都是差不多的,突然有几个文件从最后修改时间上看可以看到日期是最近几天修改的,那说明这个文件很有可能被植入后门代码,点开代码文件看一下最后几行有没有特殊的加密代码。

阿里云的后台也会显示出网站木马的路径,可以根据阿里云后台的显示进行删除与隔离,但是网站后门是如何被上传的,这个要搞清楚原因,一般是网站存在漏洞,以及服务器安全没有做好导致的被上传的,如果网站漏洞没有修复好,还是会继续被上传后门的,网站的漏洞修复,可以对比程序系统的版本进行升级,也可以找程序员进行修复,如果是你自己写的网站熟悉还好,不是自己写的,建议找专业的网站安全公司来处理解决网站后门的问题,像Sine安全,绿盟,启明星辰那些专门做网站安全防护的安全公司帮忙处理。

6a8dfc64cfbc490086e67a251a370cef.png

再一个我们对每个代码文件进行查看,搜索含有eval的特征码,以及POST{}、execute(request,等等的特征码,如果代码里含有,那基本上就可以判定是网站后门了。对比之前网站的备份,查看有没有被篡改的代码文件,如果有的话,请删除多余添加的代码。最后一种查找网站后门的方式就是看网站的访问日志,每个网站都有日志的,可以联系服务器商,主机商要求他们提供最近一段时间的网站日志,通过日志,我们可以查到一些非法的访问,尤其一些我们不熟悉的访问地址,一般攻击者都会访问以下自己设置的后门,通过日志就可以查到蛛丝马迹。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
28天前
|
存储 监控 固态存储
【vSAN分布式存储服务器数据恢复】VMware vSphere vSAN 分布式存储虚拟化平台VMDK文件1KB问题数据恢复案例
在一例vSAN分布式存储故障中,因替换故障闪存盘后磁盘组失效,一台采用RAID0策略且未使用置备的虚拟机VMDK文件受损,仅余1KB大小。经分析发现,该VMDK文件与内部虚拟对象关联失效导致。恢复方案包括定位虚拟对象及组件的具体物理位置,解析分配空间,并手动重组RAID0结构以恢复数据。此案例强调了深入理解vSAN分布式存储机制的重要性,以及定制化数据恢复方案的有效性。
51 5
|
16天前
|
Linux
Linux 服务器下载百度网盘文件
本教程指导如何使用 `bypy` 库从百度网盘下载文件。首先通过 `pip install bypy` 安装库,接着运行 `bypy info` 获取登录链接并完成授权,最后将文件置于指定目录并通过 `bypy downdir /Ziya-13b-v1` 命令下载至本地。
22 1
Linux 服务器下载百度网盘文件
|
1天前
|
存储 数据挖掘 Linux
服务器数据恢复—Linux操作系统网站服务器数据恢复案例
服务器数据恢复环境: 一台linux操作系统服务器上跑了几十个网站,服务器上只有一块SATA硬盘。 服务器故障: 服务器突然宕机,尝试再次启动失败。将硬盘拆下检测,发现存在坏扇区
|
1月前
|
PHP
PHP遍历文件并同步上传到服务器
在进行网站迁移时,由于原网站的图片文件过多,采用打包下载再上传的方式耗时过长,且尝试使用FTP工具从旧服务器传输至新服务器时失败。为解决此问题,特使用PHP编写了一款工具,该工具能扫描指定目录下的所有`.webp`图像文件,并将其上传至新的服务器,极大地提高了迁移效率。
71 16
|
23天前
|
存储 安全 文件存储
【服务器数据恢复】Apple苹果Xsan文件系统卷宗误操作导致文件丢失数据恢复案例
客户因误操作删除了macOS服务器上的重要图片和视频文件,需紧急恢复。Xsan文件系统作为苹果专为高负载环境设计的64位簇文件系统,在未有专门恢复工具的情况下,常规RAW恢复仅能提取小部分连续存储的小文件,且无目录结构。通过专业的数据恢复流程,包括安全挂载、阵列重组,并使用专用工具解析文件系统以恢复目录结构,最终成功恢复丢失的文件。此案例突显了Xsan文件系统的特点及其恢复难度。
23 1
|
14天前
|
前端开发 安全 Java
在Java服务器端开发的浩瀚宇宙中,Servlet与JSP犹如两颗璀璨的明星,它们联袂登场,共同编织出动态网站的绚丽篇章。
在Java服务器端开发的浩瀚宇宙中,Servlet与JSP犹如两颗璀璨的明星,它们联袂登场,共同编织出动态网站的绚丽篇章。
13 0
|
1月前
|
开发工具 git iOS开发
服务器配置Huggingface并git clone模型和文件
该博客提供了在服务器上配置Huggingface、安装必要的工具(如git-lfs和huggingface_hub库)、登录Huggingface以及使用git clone命令克隆模型和文件的详细步骤。
70 1
|
15天前
|
数据可视化 Python
通过python建立一个web服务查看服务器上的文本、图片、视频等文件
通过python建立一个web服务查看服务器上的文本、图片、视频等文件
16 0
|
1月前
|
安全 Linux Shell
Linux服务器 /etc/pam.d目录下的文件都是什么作用?
【8月更文挑战第2天】Linux服务器 /etc/pam.d目录下的文件都是什么作用?
142 2
|
1月前
|
存储 Ubuntu Linux
如何在服务器之间同步文件?
如何在服务器之间同步文件?
61 3

热门文章

最新文章