网站后门是网页木马(Webshell)的一种,是让站长深恶痛绝的玩意。一旦黑客植入后门到网站,黑客就能为所欲为了。要处理网站后门,可按以下方法操作。
方法一:恢复备份
如果你有干净的备份文件,这个问题处理起来就简单了(也最有效):删除现有文件,恢复干净的备份文件。 注意务必全部删除现有的文件,再恢复干净的备份;不能使用覆盖模式,防止后门文件仍然残留。 该方法比较简单粗暴,虽然能最有效解决后门问题,但无法知晓后门文件在哪里。若需要找出后门文件,可以使用对比软件,对现有文件和备份文件进行比对,找出差异的文件,再人工审查,就能找出后门文件。
方法二:审计文件
如果没有备份文件,那就只有审计文件了。逐个文件审计,工作量太大;就算逐个审计,大部分管理员也没法识别其中的恶意代码。
可按以下方法快速操作,减少审计工作量。
1、 重点检查配置文件,看看是否有异常代码
2、 按文件名排序,重点检查新增的文件
3、 按文件最后修改时间排序,重点检查入侵前24小时内修改过的文件
4、 重点检查/tmp、/uploads、/cache等目录(上传文件存放目录和临时目录)
方法三:查杀木马
人工审计是一件非常苦逼的事,不到万不得已,还是尽量不要使用。更简单的方法是使用网页木马专用杀毒软件,对网站文件进行扫描,找出Webshell。例如使用【护卫神-云查杀系统】,永久免费的网页木马专杀软件,可以快速发现网站后门。
方法四:审计日志
虽然网页木马专杀软件可以查杀后门,但是没有一家公司敢说具有100%的识别率。尤其是嵌入正常网页中的变种一句话木马,几乎没有识别的可能。如果网站文件多,逐个文件审计也不是个办法。此时可以采用另外一个办法:审计网站日志。 黑客要操作后门,必须先进入后门,再执行相关指令。这些操作一般都是采用POST请求,因此我们只需要检查所有的POST请求数据,就能发现蛛丝马迹。
访问网站一般是GET请求,登录一般是POST请求。只审计POST请求日志,可大幅减少审计工作量,提升审效率。 然而却有一个致命问题, WebServer默认不会记录POST数据,更有甚者不支持记录POST数据。幸运的是,可以使用【护卫神.防入侵系统】来解决,该系统的“请求数据快照”模块,支持记录GET和POST请求数据。如下图所示,只记录POST数据,并且请求数据在5 -102400字节范围内才记录,以减少无效日志。
当黑客再次进入后门进行非法操作时,就会记录到快照日志,如下图。
我们只需要逐条审查,找到异常日志,就能找出后门文件了,如下图中的addfile.asp。
都没找到怎么办? 如果通过以上操作,都没发现后门文件,那有可能黑客没有在网站植入的恶意代码,而是在服务器植入了恶意文件,例如跨站入侵、系统劫持等情况。这些情况处理起来比较复杂,建议找护卫神(www.hws.com)的安全工程师专业解决!
