當(dāng)前位置:首頁 >  IDC >  安全 >  正文

阿里云網(wǎng)站發(fā)現(xiàn)后門該怎么處理

 2019-03-12 17:21  來源: A5用戶投稿   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

收到阿里云的短信提醒說是網(wǎng)站存在后門,webshell惡意通信行為,緊急的安全情況,我第一時間登錄阿里云查看詳情,點開云盾動態(tài)感知,查看了網(wǎng)站木馬的詳細(xì)路徑以及webshell的特征,網(wǎng)站從來沒有出現(xiàn)過這種情況,一臉懵逼,無奈詢問度娘吧,百度搜索了什么是webshell,為了解決這個問題,我可是下了很大的功夫,終于了解清楚并解決了阿里云提示網(wǎng)站后門的這個問題,記錄一下我解決問題的過程。

首先我們要知道什么是網(wǎng)站后門? (也叫webshell)

網(wǎng)站后門,是植入到網(wǎng)站目錄下以及服務(wù)器路徑里的一個網(wǎng)站木馬,主要利用網(wǎng)站代碼的腳本語言來進行后門的運行,像asp,aspx,php,jsp語言的腳本文件格式,都是可以在網(wǎng)站里以后門的運行。很多強大的webshell,加密免殺性較好,很多安全軟件查殺不出來的,有些可以過WAF網(wǎng)站防火墻的追查,利用網(wǎng)站漏洞上傳后門的時候,可以繞過并直接上傳到網(wǎng)站目錄下,服務(wù)器里的殺毒軟件根本沒有察覺。

網(wǎng)站后門使用的都是網(wǎng)站的80端口來進行訪問,利用腳本語言的便利性來進行編寫后門代碼,一個完整的后門通常都帶有主動連接的一個代碼,可以對網(wǎng)站進行上傳,下載,修改,新建目錄,執(zhí)行系統(tǒng)命令,更改文件名稱等管理員的操作。

從上面我們可以大體的了解什么是網(wǎng)站后門了,那怎么查找呢?

首先我們看網(wǎng)站代碼的修改時間,一般網(wǎng)站代碼文件的時間都是差不多的,突然有幾個文件從最后修改時間上看可以看到日期是最近幾天修改的,那說明這個文件很有可能被植入后門代碼,點開代碼文件看一下最后幾行有沒有特殊的加密代碼。

阿里云的后臺也會顯示出網(wǎng)站木馬的路徑,可以根據(jù)阿里云后臺的顯示進行刪除與隔離,但是網(wǎng)站后門是如何被上傳的,這個要搞清楚原因,一般是網(wǎng)站存在漏洞,以及服務(wù)器安全沒有做好導(dǎo)致的被上傳的,如果網(wǎng)站漏洞沒有修復(fù)好,還是會繼續(xù)被上傳后門的,網(wǎng)站的漏洞修復(fù),可以對比程序系統(tǒng)的版本進行升級,也可以找程序員進行修復(fù),如果是你自己寫的網(wǎng)站熟悉還好,不是自己寫的,建議找專業(yè)的網(wǎng)站安全公司來處理解決網(wǎng)站后門的問題,像Sine安全,綠盟,啟明星辰那些專門做網(wǎng)站安全防護的安全公司幫忙處理。

再一個我們對每個代碼文件進行查看,搜索含有eval的特征碼,以及POST{}、execute(request,等等的特征碼,如果代碼里含有,那基本上就可以判定是網(wǎng)站后門了。對比之前網(wǎng)站的備份,查看有沒有被篡改的代碼文件,如果有的話,請刪除多余添加的代碼。最后一種查找網(wǎng)站后門的方式就是看網(wǎng)站的訪問日志,每個網(wǎng)站都有日志的,可以聯(lián)系服務(wù)器商,主機商要求他們提供最近一段時間的網(wǎng)站日志,通過日志,我們可以查到一些非法的訪問,尤其一些我們不熟悉的訪問地址,一般攻擊者都會訪問以下自己設(shè)置的后門,通過日志就可以查到蛛絲馬跡。本文來源www.sinesafe.com

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)標(biāo)簽
網(wǎng)站安全
后門

相關(guān)文章

熱門排行

信息推薦