收到阿里雲的短信提醒說是網站存在後門,webshell惡意通信行爲,緊急的安全情況,我第一時間登錄阿里雲查看詳情,點開雲盾動態感知,查看了網站***的詳細路徑以及webshell的特徵,網站從來沒有出現過這種情況,一臉懵逼,無奈詢問度娘吧,百度搜索了什麼是webshell,爲了解決這個問題,我可是下了很大的功夫,終於瞭解清楚並解決了阿里雲提示網站後門的這個問題,記錄一下我解決問題的過程。
首先我們要知道什麼是網站後門? (也叫webshell)
網站後門,是植入到網站目錄下以及服務器路徑裏的一個網站***,主要利用網站代碼的腳本語言來進行後門的運行,像asp,aspx,php,jsp語言的腳本文件格式,都是可以在網站裏以後門的運行。很多強大的webshell,加密免殺性較好,很多安全軟件查殺不出來的,有些可以過WAF網站防火牆的追查,利用網站漏洞上傳後門的時候,可以繞過並直接上傳到網站目錄下,服務器裏的殺毒軟件根本沒有察覺。
網站後門使用的都是網站的80端口來進行訪問,利用腳本語言的便利性來進行編寫後門代碼,一個完整的後門通常都帶有主動連接的一個代碼,可以對網站進行上傳,下載,修改,新建目錄,執行系統命令,更改文件名稱等管理員的操作。
從上面我們可以大體的瞭解什麼是網站後門了,那怎麼查找呢?
首先我們看網站代碼的修改時間,一般網站代碼文件的時間都是差不多的,突然有幾個文件從最後修改時間上看可以看到日期是最近幾天修改的,那說明這個文件很有可能被植入後門代碼,點開代碼文件看一下最後幾行有沒有特殊的加密代碼。
阿里雲的後臺也會顯示出網站***的路徑,可以根據阿里雲後臺的顯示進行刪除與隔離,但是網站後門是如何被上傳的,這個要搞清楚原因,一般是網站存在漏洞,以及服務器安全沒有做好導致的被上傳的,如果網站漏洞沒有修復好,還是會繼續被上傳後門的,網站的漏洞修復,可以對比程序系統的版本進行升級,也可以找程序員進行修復,如果是你自己寫的網站熟悉還好,不是自己寫的,建議找專業的網站安全公司來處理解決網站後門的問題。
再一個我們對每個代碼文件進行查看,搜索含有eval的特徵碼,以及POST{}、execute(request,等等的特徵碼,如果代碼裏含有,那基本上就可以判定是網站後門了。對比之前網站的備份,查看有沒有被篡改的代碼文件,如果有的話,請刪除多餘添加的代碼。最後一種查找網站後門的方式就是看網站的訪問日誌,每個網站都有日誌的,可以聯繫服務器商,主機商要求他們提供最近一段時間的網站日誌,通過日誌,我們可以查到一些非法的訪問,尤其一些我們不熟悉的訪問地址,一般***者都會訪問以下自己設置的後門,通過日誌就可以查到蛛絲馬跡。