欢迎来到919YY.com 资源共享 遵纪守法,为互联网创造精品内容

网站被入侵挂马,如何找到并处理后门文件,封堵漏洞防止再次被黑的方法

admin 技术教程

我们做SEO建站、优化过程中,网站排名上升,当然很高兴,此时也更需要注意网站安全问题,因为你的排名不仅可以为自己带来收益,别人也希望加以利用,以便为他带来收益。

一般网站被入侵,大概分为两个部分,一是服务器不安全,比如对方获得你的服务器相当权限,进入对网站修改。二是网站程序不安全,即使服务器非常安全,由于网站程序必须提供对外的访问服务,不得不开发一些权限,而权限设置不严谨,就有可能导致网站程序被利用,非法写入木马后门文件,使网站被入侵。

一、服务器基础安全

1、不使用弱密码

不要使用如123456、生日、网站名等容易被猜到的密码。这是一个习惯,不管是你的服务器账号,还是FTP账号,还是网站后台登录账号,都需要避免使用此类密码。

2、不同的账号尽量不要使用相同的密码

避免如果你某个密码被猜到,或被偷看到,而导致你所有的账号被攻破。

3、修改远程登录、FTP等端口为非默认端口

windows的远程登录端口默认为 3389,linux默认为22,FTP默认端口为21,将这些端口修改为10000-65535之间一任意数字,以防止被暴力扫描和猜解,提升安全指数。

4、使用防火墙封堵非必要端口

通过设置防火墙规则,只开放 80,443,远程登录端口、FTP端口,其它的端口一律禁止外部连接,如数据库mysql的3306,防止非法连接,如果一定需要外部连接,也应该通过IP白名单的方式来提升安全指数。当然防火墙不只这些作用,还有限制并发连接数,防盗链等功能,可以同时设置,增强服务器安全可靠性。

5、在windows主机上,使用安全软件设置一下系统权限

比如关闭windows的$IPC共享之类的著名漏洞,非常有必要。在Linux上默认没有这些问题。使用 windows服务器的朋友下载一些服务器安全软件扫描设置一下就可以了,这是一次性工作,只需要在开设服务器里设置一次就可以了。

二、网站程序安全

服务器的基本安全做好后,能保证网站所在的服务器shell不被攻破。但是,我们的安全问题往往出现在网站程序上面。

因为我们需要通过网站程序对网站内容进行管理,就必须要开启写入和执行权限,虽然我们需要通过管理员账号密码登录后台才可以操作,而管理员账号密码也是使用的复杂密码,但是如果程序设计不严谨,入侵者就可以不需要管理员账号,而通过这些有漏洞的文件直接可以对我们的网站操作写入和执行。

大家常用的织梦cms(dedecms)就经常有此类问题,大家可以通过百度搜索:织梦程序安全设置 查找方法,或查看本站转载的织梦官方发布的 DedeCMS V5.3/V5.5/V5.7 安全设置指南https://www.think3.cc/?id=5 

其它CMS,官方一定会发布类似的安全设置指南,请大家参考设置就可以了。

三、被入侵后,如何查找漏洞文件并封堵?

1、保留现场,原站打包下载回来

把包含木马文件的网站程序整体压缩打包,下载回来,暂时不要删除任何文件。此时可以关闭,或使用备用服务器。

2、使用后门扫描程序扫描,找到新增加的木马文件,如安全狗,D盾等。

找到新增加、新修改了哪些文件。如果你对你的网站非常熟悉,凭经验也是可以看出哪些文件是非正常文件的。

3、根据新增加/修改的木马文件的修改日期,判断入侵具体时间

此时,通过你的远程连接或FTP连接到你的网站服务器,查看这些问题文件的修改或创建日期。只需要找到这个日期即可。

4、查看入侵时间的网站访问日志,定位入口文件

上面我们已经知道了入侵的确切时间,下面我们将网站的访问日志下载回来,用editplus等文本软件打开,搜索相应的时间,或搜索木马文件名,看看是哪个IP在访问,同时查看这个IP在这段时间内,访问过哪些文件,统统找出来。除了新增加的文件,还访问了哪些网站已有的文件,这些文件就可能是包含漏洞的位置。

5、对入口文件或目录做处理。

找到问题位置就好办了,最简单的方法就是删除入口文件。如果这个文件需要使用不能删除,那么就可以设置严格的权限,以防下次再被利用。封堵漏洞常用的方法:设置更严格的读写权限、对程序中的输入参数如$_GET、$_POST等进行容易被操作注入攻击的参数,进行严格过滤(现在一些设计不错的程序已经默认能过滤)。

四、恢复网站到正常状态

方法一、通过扫描木马后门文件,删除的方法恢复

这需要对网站程序文件全部扫描。此方法可能不能完全找到木马文件,如有些后门可能会通过加密、变体等方法,无法通过常规的扫描发现。

方法二、使用全新的官方程序文件或备份的干净文件覆盖(推荐)

备份数据库,删除现有网站的全部程序文件,使用本地干净的备份文件,或全新的官方程序文件覆盖,同时需要重新导入备份的数据库,或重新设置数据库连接信息。建议有经验的同学操作。

免责声明:

本站提供的资源,都来自网络,版权争议与本站无关,所有内容及软件的文章仅限用于学习和研究目的。不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负,我们不保证内容的长久可用性,通过使用本站内容随之而来的风险与本站无关,您必须在下载后的24个小时之内,从您的电脑/手机中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。侵删请致信E-mail:[email protected]

同类推荐
评论列表

sitemap