php网站被挂木马如何修复
2015-09-21 20:57
435 查看
修复步骤
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
普通服务器被挂马,不用紧张,按上述步骤进行修复
关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
来自:飞自由。
停掉web服务,免得旧仇未报,又添新恨
找到被挂马的漏洞。一定要找到,不然问题根本解决不了。服务器被挂马主要是两种原因:sql注入或者某种系统性漏洞
sql注入,和代码有关系,不好查。但是只要你的Nginx/PHP不是以root身份运行的,最多被拖库,被挂马的可能性不大
系统性漏洞,这个破坏性很大,但是都会比较著名,马上有人提供解决方案,搜索一下就能找到
所以,找到被挂马的原因是: nginx文件类型错误解析漏洞,这个漏洞很严重,php网站只要支持图片上传都会中招
修补漏洞,nginx文件类型错误解析漏洞 这个漏洞比较好修复,在nginx configure文件里面配置一下即可
搜查木马文件,到代码安装目录执行下面命令
find ./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”
搜出来接近100条结果,这个结果列表很重要,木马都在里面,要一个一个文件打开验证是否是木马,如果是,马上删除掉
最后找到10个木马文件,存放在各种目录,都是php webshell,功能很齐全,用base64编码
清理现场, 去掉首页上的黑链,重启web服务
安全经验
普通服务器被挂马,不用紧张,按上述步骤进行修复
关键服务器(比如部署了用户资金/转账/交易 等服务),被挂马之后,必须要格式化重装,因为webshell的功能实在是非常齐全,攻击者很可能替换掉系统关键程序,比如sshd,nginx等,从此大门打开,随便进出
服务器安装系统要分区,至少应该分 系统区和数据区 两部分,这样重装系统的时候可以不用迁移数据
凡是提供外部端口的服务程序(web server,gate server),一定要用独立的用户运行,千万不要图省事,直接用root
来自:飞自由。
相关文章推荐
- 转载的关于iOS架构的东西
- 浅谈iOS中MVVM的架构与团队协作
- 优秀iOS学习网站(待更新)
- 我的架构师之路
- alexa全球网站信息 搜索【排名】
- Corosync+Pacemaker+DRBD+MySQL 实现高可用MySQL集群
- Hbase Region Server整体架构
- 网站收集
- 推荐学习前端知识不错的网站
- 制作网页1---AWS 云主机+万网域名+XAMPP 配置自己的网站
- 近年来作品整理——软件和网站设计小结
- C#模拟百度登录并到指定网站评论回帖(五)
- 高并发的抢购系统的架构设计
- Ceph架构剖析
- 阿里云服务器或者其他网站绑定域名方法
- 理解RESTful架构
- 阿里云服务器或者其他网站绑定域名方法
- 网站添加自己公司的地图(使用的百度地图)时只显示一个空白框
- 中国将查处“僵尸”型政府网站
- 网站开发新手学习PHP计划----阿冬专栏