收到阿里云的短信提醒說是網(wǎng)站存在后門,webshell惡意通信行為,緊急的安全情況,我第一時(shí)間登錄阿里云查看詳情,點(diǎn)開云盾動(dòng)態(tài)感知,查看了網(wǎng)站木馬的詳細(xì)路徑以及webshell的特征,網(wǎng)站從來沒有出現(xiàn)過這種情況,一臉懵逼,無奈詢問度娘吧,百度搜索了什么是webshell,為了解決這個(gè)問題,我可是下了很大的功夫,終于了解清楚并解決了阿里云提示網(wǎng)站后門的這個(gè)問題,記錄一下我解決問題的過程。
首先我們要知道什么是網(wǎng)站后門? (也叫webshell)
網(wǎng)站后門,是植入到網(wǎng)站目錄下以及服務(wù)器路徑里的一個(gè)網(wǎng)站木馬,主要利用網(wǎng)站代碼的腳本語言來進(jìn)行后門的運(yùn)行,像asp,aspx,php,jsp語言的腳本文件格式,都是可以在網(wǎng)站里以后門的運(yùn)行。很多強(qiáng)大的webshell,加密免殺性較好,很多安全軟件查殺不出來的,有些可以過WAF網(wǎng)站防火墻的追查,利用網(wǎng)站漏洞上傳后門的時(shí)候,可以繞過并直接上傳到網(wǎng)站目錄下,服務(wù)器里的殺毒軟件根本沒有察覺。
網(wǎng)站后門使用的都是網(wǎng)站的80端口來進(jìn)行訪問,利用腳本語言的便利性來進(jìn)行編寫后門代碼,一個(gè)完整的后門通常都帶有主動(dòng)連接的一個(gè)代碼,可以對(duì)網(wǎng)站進(jìn)行上傳,下載,修改,新建目錄,執(zhí)行系統(tǒng)命令,更改文件名稱等管理員的操作。
從上面我們可以大體的了解什么是網(wǎng)站后門了,那怎么查找呢?
首先我們看網(wǎng)站代碼的修改時(shí)間,一般網(wǎng)站代碼文件的時(shí)間都是差不多的,突然有幾個(gè)文件從最后修改時(shí)間上看可以看到日期是最近幾天修改的,那說明這個(gè)文件很有可能被植入后門代碼,點(diǎn)開代碼文件看一下最后幾行有沒有特殊的加密代碼。
阿里云的后臺(tái)也會(huì)顯示出網(wǎng)站木馬的路徑,可以根據(jù)阿里云后臺(tái)的顯示進(jìn)行刪除與隔離,但是網(wǎng)站后門是如何被上傳的,這個(gè)要搞清楚原因,一般是網(wǎng)站存在漏洞,以及服務(wù)器安全沒有做好導(dǎo)致的被上傳的,如果網(wǎng)站漏洞沒有修復(fù)好,還是會(huì)繼續(xù)被上傳后門的,網(wǎng)站的漏洞修復(fù),可以對(duì)比程序系統(tǒng)的版本進(jìn)行升級(jí),也可以找程序員進(jìn)行修復(fù),如果是你自己寫的網(wǎng)站熟悉還好,不是自己寫的,建議找專業(yè)的網(wǎng)站安全公司來處理解決網(wǎng)站后門的問題,像Sine安全,綠盟,啟明星辰那些專門做網(wǎng)站安全防護(hù)的安全公司幫忙處理。
再一個(gè)我們對(duì)每個(gè)代碼文件進(jìn)行查看,搜索含有eval的特征碼,以及POST{}、execute(request,等等的特征碼,如果代碼里含有,那基本上就可以判定是網(wǎng)站后門了。對(duì)比之前網(wǎng)站的備份,查看有沒有被篡改的代碼文件,如果有的話,請(qǐng)刪除多余添加的代碼。最后一種查找網(wǎng)站后門的方式就是看網(wǎng)站的訪問日志,每個(gè)網(wǎng)站都有日志的,可以聯(lián)系服務(wù)器商,主機(jī)商要求他們提供最近一段時(shí)間的網(wǎng)站日志,通過日志,我們可以查到一些非法的訪問,尤其一些我們不熟悉的訪問地址,一般攻擊者都會(huì)訪問以下自己設(shè)置的后門,通過日志就可以查到蛛絲馬跡。
