收到阿裡雲的短信提醒說是網站存在後門,webshell惡意通信行為,緊急的安全情況,我第一時間登入阿裡雲檢視詳情,點開雲盾動态感覺,檢視了網站木馬的詳細路徑以及webshell的特征,網站從來沒有出現過這種情況,一臉懵逼,無奈詢問度娘吧,百度搜尋了什麼是webshell,為了解決這個問題,我可是下了很大的功夫,終于了解清楚并解決了阿裡雲提示網站後門的這個問題,記錄一下我解決問題的過程。
首先我們要知道什麼是網站後門? (也叫webshell)
網站後門,是植入到網站目錄下以及伺服器路徑裡的一個網站木馬,主要利用網站代碼的腳本語言來進行後門的運作,像asp,aspx,php,jsp語言的腳本檔案格式,都是可以在網站裡以後門的運作。很多強大的webshell,加密免殺性較好,很多安全軟體清除不出來的,有些可以過WAF網站防火牆的追查,利用網站漏洞上傳後門的時候,可以繞過并直接上傳到網站目錄下,伺服器裡的防毒軟體根本沒有察覺。
網站後門使用的都是網站的80端口來進行通路,利用腳本語言的便利性來進行編寫後門代碼,一個完整的後門通常都帶有主動連接配接的一個代碼,可以對網站進行上傳,下載下傳,修改,建立目錄,執行系統指令,更改檔案名稱等管理者的操作。
從上面我們可以大體的了解什麼是網站後門了,那怎麼查找呢?
首先我們看網站代碼的修改時間,一般網站代碼檔案的時間都是差不多的,突然有幾個檔案從最後修改時間上看可以看到日期是最近幾天修改的,那說明這個檔案很有可能被植入後門代碼,點開代碼檔案看一下最後幾行有沒有特殊的加密代碼。
阿裡雲的背景也會顯示出網站木馬的路徑,可以根據阿裡雲背景的顯示進行删除與隔離,但是網站後門是如何被上傳的,這個要搞清楚原因,一般是網站存在漏洞,以及伺服器安全沒有做好導緻的被上傳的,如果網站漏洞沒有修複好,還是會繼續被上傳後門的,網站的漏洞修複,可以對比程式系統的版本進行更新,也可以找程式員進行修複,如果是你自己寫的網站熟悉還好,不是自己寫的,建議找專業的網站安全公司來處了解決網站後門的問題,像Sine安全,綠盟,啟明星辰那些專門做網站安全防護的安全公司幫忙處理。
再一個我們對每個代碼檔案進行檢視,搜尋含有eval的特征碼,以及POST{}、execute(request,等等的特征碼,如果代碼裡含有,那基本上就可以判定是網站後門了。對比之前網站的備份,檢視有沒有被篡改的代碼檔案,如果有的話,請删除多餘添加的代碼。最後一種查找網站後門的方式就是看網站的通路日志,每個網站都有日志的,可以聯系伺服器商,主機商要求他們提供最近一段時間的網站日志,通過日志,我們可以查到一些非法的通路,尤其一些我們不熟悉的通路位址,一般攻擊者都會通路以下自己設定的後門,通過日志就可以查到蛛絲馬迹。