今天监测网站流量的时候,发现有个站的流量竟然为0,这是怎么回事呀。于是进入空间控制面板,才发现这个站被空间商给停下来了。当时那个气呀,马上联系空间客服,客服非常客气地告诉我:
并且发给我一个解决方法的网址,让我看的是一头雾水,第一次网站被挂马,如果处理不好,网站数据将会惨不忍睹呀,按照客服要求,备份数据库文件,打包下载整站数据(客服要求必须下载整站数据在本地改,改好再上传)。
有问题找百度吧,找了好久也没有找出个所以然来,只有一个感觉距离自己比较近,是用一个软件清理木马源码,可是真正想用时,才发现这是这个软件的营销软文,草根站长买不起的,看样子,只有挽起袖子自己做了。
首先有个基本的理念,就是网站最近才被挂马的,所以,被植入的木马文件和被挂马的网页的修改日期比较新,这些就成了我查找的主要对像。
把下载的网站数据做好一个备份之后,解压缩到一个文件夹;然后搭建一个本地平台,安装dedecms建成一个全新的本地网站(我的网站程序是dedecms),打开网站目录,用新站的源码文件与解压好的文件进行逐一比对,方法是有点笨,但是没有经验,只有如此了。
通过比对,发现include下被植入了好多文件,如图:
(注:本图为一一复制出来的的截图,在原文件夹里是分散的。)
这些文件被我复制保留下来,留作以后慢慢分析。但是随便随便打开看看也明白了,这些代码的一个重要作用是在网站上挂黑链用的,这也让我明白了前天写的一篇文章(网站被挂了黑链后 如何让黑链“飞”)中没有弄明白的问题,原来挂链者就是使用这些手法挂上链接的。在比对的过程中,一定要细心加耐心,因为文件有很多,稍有不慎就会有漏网之鱼,再加上有些文件伪装得特别好,比如下图这两个文件,仅有一个字母之差,如果不仔细看,很可能漏掉的。
继续查找发现Install/templates/下的5个文件都被污染,手法都一样,都在网页的底部挂了链接,一个一个的修改掉黑链源码即可。
接着又发现Templets下的模板文件(.htm)全军覆没,也是底部被挂了黑链,上次发现黑链清理的时候,只清理了正在使用的模板文件,对于默认的模板文件没有在意,谁知这种挂黑链的手法无孔不入呀,由于此处的文件比较多,所以只有重新上传干净的文件进行覆盖。
通过一一比对,其它文件夹没有发现什么异常,至此,网站源码应该是健康的了,打包上传,然后全站更新应该就OK了。
通过此事让我真正体验到了,网站安全无小事,稍有不慎很可能导致前功尽弃。所以在网站的日常维护中,网站程序一定要及时升级到最新的版本,密码一定要足够的复杂,而且要经常更换,后台地址一定不要用默认的……总之,有关安全的一切一定要尽力做到最好,尽量不留下可乘之机。本文由登山包站长,一边操作一边记录成文,a5首发,我不希望任何一个站友有被挂马的经历,但是我希望一但出现这种情况,本文能给您些许的帮助。
申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!
