网站被入侵挂马,如何找到并处理后门文件,封堵漏洞防止再次被黑的方法

  我们做SEO建站、优化过程中,网站排名上升,当然很高兴,此时也更需要注意网站安全问题,因为你的排名不仅可以为自己带来收益,别人也希望加以利用,以便为他带来收益。

  一般网站被入侵,大概分为两个部分,一是服务器不安全,比如对方获得你的服务器相当权限,进入对网站修改。二是网站程序不安全,即使服务器非常安全,由于网站程序必须提供对外的访问服务,不得不开发一些权限,而权限设置不严谨,就有可能导致网站程序被利用,非法写入木马后门文件,使网站被入侵。

一、服务器基础安全

1、不使用弱密码

  不要使用如123456、生日、网站名等容易被猜到的密码。这是一个习惯,不管是你的服务器账号,还是FTP账号,还是网站后台登录账号,都需要避免使用此类密码。

2、不同的账号尽量不要使用相同的密码

  避免如果你某个密码被猜到,或被偷看到,而导致你所有的账号被攻破。

3、修改远程登录、FTP等端口为非默认端口

  windows的远程登录端口默认为 3389,linux默认为22,FTP默认端口为21,将这些端口修改为10000-65535之间一任意数字,以防止被暴力扫描和猜解,提升安全指数。

4、使用防火墙封堵非必要端口

  通过设置防火墙规则,只开放 80,443,远程登录端口、FTP端口,其它的端口一律禁止外部连接,如数据库mysql的3306,防止非法连接,如果一定需要外部连接,也应该通过IP白名单的方式来提升安全指数。当然防火墙不只这些作用,还有限制并发连接数,防盗链等功能,可以同时设置,增强服务器安全可靠性。

5、在windows主机上,使用安全软件设置一下系统权限

  比如关闭windows的$IPC共享之类的著名漏洞,非常有必要。在Linux上默认没有这些问题。使用 windows服务器的朋友下载一些服务器安全软件扫描设置一下就可以了,这是一次性工作,只需要在开设服务器里设置一次就可以了。

二、网站程序安全

  服务器的基本安全做好后,能保证网站所在的服务器shell不被攻破。但是,我们的安全问题往往出现在网站程序上面。

  因为我们需要通过网站程序对网站内容进行管理,就必须要开启写入和执行权限,虽然我们需要通过管理员账号密码登录后台才可以操作,而管理员账号密码也是使用的复杂密码,但是如果程序设计不严谨,入侵者就可以不需要管理员账号,而通过这些有漏洞的文件直接可以对我们的网站操作写入和执行。

  大家常用的织梦cms(dedecms)就经常有此类问题,大家可以通过百度搜索:织梦程序安全设置 查找方法,或查看本站转载的织梦官方发布的 DedeCMS V5.3/V5.5/V5.7 安全设置指南https://www.think3.cc/?id=5 

  其它CMS,官方一定会发布类似的安全设置指南,请大家参考设置就可以了。

三、被入侵后,如何查找漏洞文件并封堵?

1、保留现场,原站打包下载回来

  把包含木马文件的网站程序整体压缩打包,下载回来,暂时不要删除任何文件。此时可以关闭,或使用备用服务器。

2、使用后门扫描程序扫描,找到新增加的木马文件,如安全狗,D盾等。

  找到新增加、新修改了哪些文件。如果你对你的网站非常熟悉,凭经验也是可以看出哪些文件是非正常文件的。

3、根据新增加/修改的木马文件的修改日期,判断入侵具体时间

  此时,通过你的远程连接或FTP连接到你的网站服务器,查看这些问题文件的修改或创建日期。只需要找到这个日期即可。

4、查看入侵时间的网站访问日志,定位入口文件

  上面我们已经知道了入侵的确切时间,下面我们将网站的访问日志下载回来,用editplus等文本软件打开,搜索相应的时间,或搜索木马文件名,看看是哪个IP在访问,同时查看这个IP在这段时间内,访问过哪些文件,统统找出来。除了新增加的文件,还访问了哪些网站已有的文件,这些文件就可能是包含漏洞的位置。

5、对入口文件或目录做处理。

  找到问题位置就好办了,最简单的方法就是删除入口文件。如果这个文件需要使用不能删除,那么就可以设置严格的权限,以防下次再被利用。封堵漏洞常用的方法:设置更严格的读写权限、对程序中的输入参数如$_GET、$_POST等进行容易被操作注入攻击的参数,进行严格过滤(现在一些设计不错的程序已经默认能过滤)。

四、恢复网站到正常状态

方法一、通过扫描木马后门文件,删除的方法恢复

  这需要对网站程序文件全部扫描。此方法可能不能完全找到木马文件,如有些后门可能会通过加密、变体等方法,无法通过常规的扫描发现。

方法二、使用全新的官方程序文件或备份的干净文件覆盖(推荐)

  备份数据库,删除现有网站的全部程序文件,使用本地干净的备份文件,或全新的官方程序文件覆盖,同时需要重新导入备份的数据库,或重新设置数据库连接信息。建议有经验的同学操作。织梦被入侵恢复方法可参见:https://www.think3.cc/?id=6


欢迎转载,请注明来源:https://www.think3.cc/?id=4

评论列表: (共1条评论)
  1. 感谢分享,网站安全太重要了,我以前一个网站上去被黑了,排名就掉了。按老师说的方法做了安全设置,现在网站没出过问题了。

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。