阿里云服務(wù)器網(wǎng)站發(fā)現后門(mén)該怎么處理

收到阿里云的短信提醒說(shuō)是網(wǎng)站存在后門(mén)，webshell惡意通信行為，緊急的安全情況，本文就來(lái)講講阿里云服務(wù)器網(wǎng)站發(fā)現后門(mén)該怎么處理.

收到阿里云的短信提醒說(shuō)是網(wǎng)站存在，webshell惡意通信行為，緊急的安全情況，我第一時(shí)間登錄阿里云查看詳情，點(diǎn)開(kāi)云盾動(dòng)態(tài)感知，查看了網(wǎng)站木馬的詳細路徑以及webshell的特征，網(wǎng)站從來(lái)沒(méi)有出現過(guò)這種情況，一臉懵逼，無(wú)奈詢(xún)問(wèn)度娘吧，百度搜索了什么是webshell,為了解決這個(gè)問(wèn)題，我可是下了很大的功夫，終于了解清楚并解決了阿里云提示網(wǎng)站后門(mén)的這個(gè)問(wèn)題，記錄一下我解決問(wèn)題的過(guò)程。

首先我們要知道什么是網(wǎng)站后門(mén)? (也叫webshell)

網(wǎng)站后門(mén)，是植入到網(wǎng)站目錄下以及服務(wù)器路徑里的一個(gè)網(wǎng)站木馬，主要利用網(wǎng)站代碼的腳本語(yǔ)言來(lái)進(jìn)行后門(mén)的運行，像asp,aspx,php,jsp語(yǔ)言的腳本文件格式，都是可以在網(wǎng)站里以后門(mén)的運行。很多強大的webshell，加密免殺性較好，很多安全軟件查殺不出來(lái)的，有些可以過(guò)WAF網(wǎng)站防火墻的追查，利用網(wǎng)站漏洞上傳后門(mén)的時(shí)候，可以繞過(guò)并直接上傳到網(wǎng)站目錄下，服務(wù)器里的殺毒軟件根本沒(méi)有察覺(jué)。

網(wǎng)站后門(mén)使用的都是網(wǎng)站的80端口來(lái)進(jìn)行訪(fǎng)問(wèn)，利用腳本語(yǔ)言的便利性來(lái)進(jìn)行編寫(xiě)后門(mén)代碼，一個(gè)完整的后門(mén)通常都帶有主動(dòng)連接的一個(gè)代碼，可以對網(wǎng)站進(jìn)行上傳，下載，修改，新建目錄，執行系統命令，更改文件名稱(chēng)等管理員的操作。

從上面我們可以大體的了解什么是網(wǎng)站后門(mén)了，那怎么查找呢?

首先我們看網(wǎng)站代碼的修改時(shí)間，一般網(wǎng)站代碼文件的時(shí)間都是差不多的，突然有幾個(gè)文件從最后修改時(shí)間上看可以看到日期是最近幾天修改的，那說(shuō)明這個(gè)文件很有可能被植入后門(mén)代碼，點(diǎn)開(kāi)代碼文件看一下最后幾行有沒(méi)有特殊的加密代碼。

阿里云的后臺也會(huì )顯示出網(wǎng)站木馬的路徑，可以根據阿里云后臺的顯示進(jìn)行刪除與隔離，但是網(wǎng)站后門(mén)是如何被上傳的，這個(gè)要搞清楚原因，一般是網(wǎng)站存在漏洞，以及服務(wù)器安全沒(méi)有做好導致的被上傳的，如果網(wǎng)站漏洞沒(méi)有修復好，還是會(huì )繼續被上傳后門(mén)的，網(wǎng)站的漏洞修復，可以對比程序系統的版本進(jìn)行升級，也可以找程序員進(jìn)行修復，如果是你自己寫(xiě)的網(wǎng)站熟悉還好，不是自己寫(xiě)的，建議找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決網(wǎng)站后門(mén)的問(wèn)題，像Sine安全,綠盟，啟明星辰那些專(zhuān)門(mén)做網(wǎng)站安全防護的安全公司幫忙處理。

再一個(gè)我們對每個(gè)代碼文件進(jìn)行查看，搜索含有eval的特征碼，以及POST{}、execute(request，等等的特征碼，如果代碼里含有，那基本上就可以判定是網(wǎng)站后門(mén)了。對比之前網(wǎng)站的備份，查看有沒(méi)有被篡改的代碼文件，如果有的話(huà)，請刪除多余添加的代碼。最后一種查找網(wǎng)站后門(mén)的方式就是看網(wǎng)站的訪(fǎng)問(wèn)日志，每個(gè)網(wǎng)站都有日志的，可以聯(lián)系服務(wù)器商，主機商要求他們提供最近一段時(shí)間的網(wǎng)站日志，通過(guò)日志，我們可以查到一些非法的訪(fǎng)問(wèn)，尤其一些我們不熟悉的訪(fǎng)問(wèn)地址，一般攻擊者都會(huì )訪(fǎng)問(wèn)以下自己設置的后門(mén)，通過(guò)日志就可以查到蛛絲馬跡。