救命:如何修复被挂木马的php网站
来源:互联网 发布:生死狙击六子刷枪软件 编辑:程序博客网 时间:2024/05/16 11:30
有个朋友的网站长期没有人管理,而网站PR=4,于是网站被人攻陷,首页加上了上百条黑链,找我帮忙修复
看到首页密密麻麻的黑链,第一反应就是头大。最简单的办法:格式化后重装系统。但是这个服务器web/数据库都部署在同一台上,数据规模有200多G,当初安装的时候也没有分区,在线迁移数据太麻烦了,只能硬着头皮去修复问题,步骤如下
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的nginx/php不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname "*.php" | xargs grep -H -n "eval(base64_decode"
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
- 普通服务器被挂马,不用紧张,按上述步骤进行修复
- 关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
- 服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
- 凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
标签: 服务器安全木马
本文地址: http://lutaf.com/142.htm鲁塔弗原创文章,欢迎转载,请附带原文链接
- 救命:如何修复被挂木马的php网站
- php网站被挂木马如何修复
- 救命的PHP代码
- 一个被挂木马的政府网站
- 网站被挂iframe木马的解决方案
- php 网站服务器查找木马的方法
- 网站服务器如何有效防御PHP木马攻击
- 正确设置网站文件所有者 防止php网站被挂木马
- VPS的网站被挂木马的解决办法
- 又一个被挂木马的政府网站(第3版)
- 网站被挂木马与777权限的奥妙
- 10 个救命的 PHP 代码片段
- 10 个救命的 PHP 代码片段
- 10 个救命的 PHP代码片段
- 10 个救命的 PHP 代码片段
- 10个救命的PHP代码片段
- 二十一段救命的PHP代码
- 二十一段救命的PHP代码
- Spring 定时任务
- SqlServer中的更新锁(UPDLOCK)
- Android WebView实现离线加载功能
- android开发中EditText自动获取焦点时隐藏hint的代码
- 《编程之美》蚂蚁爬杆问题的扩展
- 救命:如何修复被挂木马的php网站
- 微软的讨论
- 获取APK包名的几种方法
- Safari调试iOS中的js
- POJ 1064 Cable master
- 8.8.1 Optimizing Queries with EXPLAIN
- 包含min函数的桟
- THINKPHP 中密码在编辑中不填写即不修改,ignore和md5冲突的解决办法
- 第三方集成微信登录、分享等功能的sdk