服务器被挂马网站被挂马的解决方案 |
| 作者:参考文集 时间:2023-05-14 |
| 描述:若在服务器上看网站程序都没有被注入的信息,在外网访问却提示有病毒。这就是ARP挂马的现象。 |
服务器被挂马的原因很多,在解决之前,首先要弄清楚被挂马的类型,比较常见的分为ARP挂马和非ARP挂马。先说说ARP挂马吧,机房中了ARP的木马,刚接触到的朋友会觉得很神奇,在服务器上看网站程序都没有被注入的信息,在外网访问却提示有病毒。这就是ARP挂马的现象: (IE访问时,站点被挂马了,但是到服务器上查看实际的文件时,发现服务器上的文件并没有被修改.)一般这种情况我们是没法解决的,只能通过联系机房,
检查出被挂ARP病毒的机子,给予隔离查杀病毒!
接下来说说非ARP挂马,目前比较常见的是asp和。net木马。二者分别通过调用fso和io组件进行网站程序的批量挂马。所以防止该木马最直接的方法是控制好这两个组件权限,网站目录只给读权限,更新站点内荣如:上传图片,插件等最好使用ftp进行上传,还有就是网站程序的控制,对上传之类的操作都要给予验证。当然,有时候会因一时疏忽而导致被挂马了
下面根据被挂马网站的数量分成以下几种类型和解决方案:
(1) 个别网站被挂马.
现象: 只有一个或两个网站被挂马,其它网站均没有问题.
解决: 一般是网站本身程序有问题. 可以通知客户自行解决,不属于IDC提供商的责任范围.
如果想要帮客户解决,可以先检查一下看客户网站上是否存在WEB上传程序, HTML在线编程程序,图片在线上传的程序,大部是这类程序有问题.
有使用砺青虚拟主机管理系统的朋友,如果不需要用到这类程序,可以WinIIS控制面板里设置一下站点主目录的权限, 把写权限去掉,留下只读与执行即可.
(2) 同一类型的网站被挂码.
现象: 数个网站被挂马,且被挂马的网站内容是同一类型的网站,比如使用同一种论坛程序,同一种在线上传程序,同一种商城等.
解决: 大部分是由于这类论坛或商城程序有漏洞. 可以建议升级一下相关的程序。
(3) 整台服务器大部分网站都被挂马了.
现象: 服务器在大部分网站都被挂马了, 这种多半是由服务器安全整体安全问题.
解决: 一般需要从以下方面检查服务器的安全.且查出问题之后, 如果没有十足把握, 一般建议需要重装服务器,才能根除.
检查磁盘的权限设置是否有问题,特别的C盘的权限. 其它盘是否有特别上不必要的权限,一般建议
其它盘符及d:wwwweb目录只留下administrators及system权限就行了,不要留下任何其它用户的权限.
检查serv-u没有设置管理密码
检查MSSQL的SA密码是否过于简单或空密码
检查系统的启动项,看是否有不必要的程序启动.
检查任务管理器,看是否有可疑的进程
检查系统的服务,看是否有可疑的服务启动
关于网站被挂马的症状以及处理解决方法
如今绝大多数站长都在想着怎么建设外链,怎么发布网站内容,把自己网站的弄到首页或是前三位,网站安全其实也需要站长们注意,因为一旦网站安全出了问题,网站的排名也会受到很大的影响。下面就仔细分析几种关于网站安全的现象以及处理的方法。
网站被挂马解决办法
第一种:网站被挂“黑链”篡改了页面的内容
就算百度没有更新算法,只要是碰到网站挂黑链,网站是必死无疑,一点别的可能性都没有。这可比使用作弊手法提高关键词排名来的狠多了,不过也不是没有办法预防网站被挂黑链,只要平时网站维护中,定期查看网站的源代码、运用站长工具的“网站死链检测'功能”,经常修改网站ftp的用户名和密码然后在定期产看文件的修改时间,这样一来绝对能有效地预防网站吧被挂黑链。
第二种:网站打开速度缓慢
蜘蛛对于网站都有考察期,在这个考察期会不定期的抓去网站内容,如果网站在高峰期打开速度很慢,或者是打不开,就会失去蜘蛛的信任以及好感,长期以往蜘蛛来咱们网站的次数就会更少了,排名估计也不理想。不过面对这种问题还是有解决方法的,首先我们查看一下自己服务器的稳定性,看是不是那里出的问题,其次我们也要检查一下自己的网站是不是被其他网站攻击了,因为一旦遭受别人的攻击,网站打不开就是必然的。很多知名论坛,像seowhy之类的,就曾经因为网站被攻击导致排名波动。
第三种:网站数据全部丢失了
这种情况也是时有发生的,所以在建设网站的时候,除了研究怎样更好地优化网站之外,我们也要注意给自己网站的数据进行备份。之前笔者做过一个地方论坛,不知道什么原因被攻击了,500多条回复都被删除了,后来经过努力网站恢复了,但是那500条回复和之前被收录的URL一致,这就导致自己网站存在重复提交内容的嫌疑,网站排名更是一降千里,悲催的到了百名开外,所以网站数据备份一定要注意,没事还好,一出事就完蛋了。
第四种:网站出现死链接或是没有用的垃圾反向链接
死链接一般都是网站在外面发布帖子或是回复留言带链接,然后在一段时间内后被吧主删除了,如果我们帖子或是留言的广告性明显,或是文章质量不高,没过多久就会被删除,这对外链建设的稳定性是一个很大的打击。垃圾链接有可能就是自己的网站被攻击了,想想黑客为什么攻击自己的网站,还不是为了那几个违法的链接吗?所以在网站不稳定的时候,一定要查处垃圾链接,及时清除,否则后患无穷!
第五种:网站title标题被挂马修改了
这种情况时常发生,不过都是些没有道德的黑主做的,一般是竞争对手,他们的目的就是侵入我们的网站,然后捡那些容易降低网站权重的地方给我们捣乱,比如说网站程序、网站标题之类的地方,都会频繁修改,致使我们网站降权或是遭受惩罚,对于预防措施有点和第一条类似,定期查看网站的源代码,防患于未然。
看了上面的这五条,站长们是不是都有点心惊肉跳,就像古话说的千里之堤毁于蚁穴,不注重这些小的细节,每天只关心网站排名,第一件事就是site网站,不注意网站安全,早晚会给我们来个措施不及!不过只要大家平日里做好网站的维护,这些问题我们都可以解决。
1 选择安全的主机商,不过选择完主机商之后我们也要时刻查看主机其他的用户,看一下他们网站的情况,毕竟他们受惩罚了,我们也会受到牵连。
2 选择安全的网站程序。如今CMS是行业共识,不过选择CMS一定要选择主流程序,因为发现安全漏洞可以跟得上官网及时打补丁以防再被入侵。
3 网站要MD5加密,因为使用主流CMS的时候会无形中加大交流的可能性,所以这时候网站一定要加密。
4 注意系统漏统,网站模版漏洞,网站程序漏洞,尽量不适用第三方插件代码,除此之外,杀毒软件存在的必要性相信我不必再赘述了。
5 有条件的站长可以找Sinesafe来做深入的安全服务,来确保网站的正常运行防止网站被挂马之类的安全问题。
6 有问题就处理,没问题就预防,双管齐下,网站安全肯定不再是影响网站前进的“绊脚石”!
网站被挂马的原因排查
相信站长SEO们在日常网站优化过程中经常会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理,如何进行排查呢?
本文结合自己的处理流程进行梳理并分享。
1)服务器防御性非常重要
多数站长选择便宜的不可靠的服务器,这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能,入侵者利用漏洞轻松可以进行提权操作。
我本人一直使用大厂的服务器产品,推荐使用阿里云、腾讯云、百度云等,相对来说比小厂有保障些。前些天我的一台阿里云服务器收到安全风险提示短信,第一时间登录阿里云后台,找到云盾系统消息提示发现后门webshell文件,系统会提供具体的后门文件的路径位置,根据这些信息可以快速定位到网站程序中的PHP木马后门文件。一般人还真不太好发现,藏的够深啊 ,还有很强的模仿能力。
这是第二个网页后门文件,命名跟其他图片一样,一般很难发现。我进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。
电脑杀毒软件也进行了查杀报毒
2)彻底清查整站程序源码
一般情况下当网站被黑恶意跳转,百分百中招应该做的就是针对网站进行彻底的清查。
具体方法,网站管理面板对站点进行打包下载,电脑本地使用网马查杀软件进行分析。
建议使用 D盾Web查杀(webshell查杀) 工具
D盾webshell查杀软件
如果你对源码不了解,请联系你的网站开发人员或者是模板制作人员协助处理。(一般会收取费用)应该第一时间把隐藏的风险文件和后门程序进行剔除。(记得网站原始数据进行备份)
确定处理干净之后的源码重新传到网站主机当中,确保网站正确运行即可。
强化安全操作:
修改网站后台密码的复杂性和长度;
修改服务器管理面板的控制权限;
修改FTP账号密码等信息;
检查服务器的安全日志修补漏洞 ;
购买服务器厂商的安全防护类产品等;
3)分析网站后门Wehshell文件
为了进行研究和学习,我特意把查杀出来的几个后门文件进行分析
打开其中PHP后门文件查看代码
为了大家方便查看,把PHP后门放到本地PHP环境中运行给大家看看后门程序的功能。
密码就是上图的红框标记出来的,进行MD5解密后得到admins
入侵者通过自己的后门PHP入口,可以轻松获得你服务器主机的各种权限和操作,
吓出一身冷汗!!!
另外一个后门PHP文件登录后的界面和功能
严重性就不多说了,网站的安全性多么重要啊。做为站长SEO人员一定要及时发现漏洞和后门,及时处理做好防护,后果不堪设想。
4)后续安全终极操作与防护
之前有写过一篇关于虚拟主机安全文章《网站被篡改劫持怎么修复》 有兴趣可以点击进行查看。
我自己使用的是服务器,管理环境面板是宝塔,安装相应的防火墙和系统加固功能来实现。
提示,宝塔环境面板是目前服务器网站环境最好用的,建议新手服务器环境配置首选 宝塔BT面板。
最后:关于一次服务器入侵后门网马的过程就分享这么多,切记一点,选择好的服务器,及时发现并监控网站安全,不要等到网站问题放大严重后果,百度惩罚流量下滑再处理就为时以晚了。
最最后,希望大家的网站都平安无事,稳定 ,排名节节高。
网站被入侵挂马解决方案
今天小编为大家演示的环境如下:
Linux centos
宝塔面板
PHP 7.3
PHP的CMS程序
只要环境符合以上四点,那么你可以参考一下被挂马的解决方案
一、找出被入侵的方式
1、普通的站长要找出被入侵的方式相当难,因为本身对网络安全就一脸懵逼,浑然不知,且宝塔面板本身的防火墙可能也防御不了。
2、当遇到这类问题时,可以针对所用的CMS程序到官网或搜索引擎上搜索,查看哪个文件是否存在什么漏洞,当遇到有问题的文件时,该删就不要犹豫,不能删的就要限制权限(所有操作都应当备份好完整源码,出错时再还原)。
3、查看宝塔面板上的网站日志,也可以查出网站被入侵的路径,针对该路径下的文件做控制。
网站根目录不要存放任何网站、数据库备份文件,包括其他RAR ZIP SQL等格式的压缩包。
二、找出被植入的木马
1、建议各位备份好源码并下载到本地电脑,然后用“D盾防火墙”进行扫描网站源码是否存在木马,如果有发现木马 软件会提示。
2、清理所有被挂马的PHP、HTML页面,保持网页恢复到正常的代码;
三、重新打包源码并上传服务器
1、重新打包源码,并且上传服务器。
2、修改服务器密码
3、修改Mysql密码
4、修改宝塔面板账号、密码
5、修改宝塔登录路径
提醒:本人一般不提倡开通21端口,也就是FTP功能,因为该功能极为容易被破解。服务器的各种端口用得到的就保留,用不到的就把它封掉。
四、安装 openrasp管理器 预防再次挂马及防止木马生效
1、在宝塔面板 软件商店 处搜索 openrasp管理器,并且安装
2、安装openrasp管理器后,针对所使用的PHP版本进行开启即可。
注意:当网站出现其他正常操作无法进行时,应当第一时间考虑到是openrasp拦截,则需要临时把它关掉。
此操作可以抵挡80%以上的木马拦截,黑客入侵后植入不了木马,他自然也不能进行挂马操作,如果你仍然无法解决网站被挂马问题或断其根源,请联系白兔SEO站长协助。
堡塔技术阿宏
您好,要弄清楚,是从面板进来的还是从网站漏洞进来的,如果服务器有中毒,建议用大马查杀将服务器所有目录都查杀下。另外,面板和网站是两个独立的服务,面板不会影响网站的正常访问,建议查看站点日志排查分析网站打不开的原因。
织梦程序网站被挂马或快照劫持终极解决办法
众所周知,织梦程序持有CMS占有比例第一,27%的比例,WP程序占有26%的比例。织梦用户虽多,但是也成为众多黑客攻击的对象。
dedecms网站被挂马的网站及快照劫持如何解决教程,今天刚好遇到这样一个网站(下方动图),所以一起来看看我是如何解决织梦网站被挂马及被快照劫持的!
织梦程序网站被挂马或快照劫持终极解决办法
(此图片来源于网络,如有侵权,请联系删除! )
织梦网站被挂马或快照劫持解决步骤:
1)登陆空间,将整个挂马的网站程序(所有文件)打包下来,一般的空间都有在线压缩功能(如果没有就只能通过ftp慢慢下载吧),打包之后并下载到本地;
2)访问D盾官网www.d99net.net,下载D盾到本地,并且安装,下载和安装就不多说了;
3)D盾下方选择【查杀】
4)直接将被挂马网站的程序用鼠标左键拖入D盾中,然后等待扫描完成,这个工具好像没录制下来我的鼠标动作。
5)D盾扫描完成之后,将D盾扫描出来的病毒文件(后门)删除掉,将空间内所有文件删除掉,用清理完的本地文件重新上传(切记不是覆盖,是全部清除掉再上传)!!!
6)全部处理好之后,重新生成,再去访问网站首页,是不是解决了呢。为了防止再次被挂马,还需要做好安全措施,参考《织梦网站安全设置教程》,被挂马的根本原因就是网站搭建起来之后,没有做好安全措施!
7)如果上面6个步骤都没有解决你织梦网站被挂马或者快照劫持问题,你可以将处理完挂马的网站程序中,把模板文件,css、js,网站数据等几个文件单独拿出来,重新安装一个全新的dedecms程序,再将这几个文件覆盖上去。
总结:
1:要做好程序的防护及主机防护
程序防护,可以参考织梦安全防护教程。
主机防护一般建议服务器用户安装防火墙软件。如宝塔网页防篡改、WIN系统D盾、安全狗、云锁等。
2:要做好程序定期备份
3:定期的升级及更新程序BUG。 从手机浏览器访问《生活宝典》 |
|
