如何查杀服务器网站后门文件?

近日遇到公司服务器服务有波动状态,开始怀疑是运营商在升级维护专线,咨询后发现并没有,于是各种百度各种咨询,发现了几种处理方式。

防御措施
1、这里有几款软件可以推荐:电脑管家、火绒安全、网防G01、看门狗软件。这几款软件都有一定的防御和查杀能力,如果是小白,可以第一时间采取这种方式进行排查维护,当然了,这是解决不了根本问题的。
例如:火绒安全这款软件确实可以阻拦一部分病毒。
如何查杀服务器网站后门文件?
如何查杀服务器网站后门文件?
2、防火墙一定要启用,如果开启防火墙导致某项服务不能正常运行,可以把需要用到的端口加入出入站规则即可。(掉坑:数据库的端口不要做映射了,一般也不允许远程访问,数据库最好不要用默认的端口,很容易被攻击)
3、如果你的服务用到phpstudy,以下是一些参考:

Phpstudy被暴存在隐藏后门-附检测方法
1.事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户
9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”
2.影响版本 软件作者声明phpstudy 2016版PHP5.4存在后门。 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
3.后门检测方法 通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中 phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45 phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径 PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在
如何查杀服务器网站后门文件?
附后门文件MD5值: MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9 MD5:
C339482FD2B233FB0A555B629C0EA5D5
3.修复方法 1)对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门 2) 可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

*3项内容转自[https://www.linktrust.net/linktrust/465.html],如有不符,请联系删除。(https://www.linktrust.net/linktrust/465.html)
4、什么是网站后门(webshell)?

网站后门,是植入到网站目录下以及服务器路径里的一个网站木马,主要利用网站代码的脚本语言来进行后门的运行,像asp,aspx,php,jsp语言的脚本文件格式,都是可以在网站里以后门的运行。很多强大的webshell,加密免杀性较好,很多安全软件查杀不出来的,有些可以过WAF网站防火墙的追查,利用网站漏洞上传后门的时候,可以绕过并直接上传到网站目录下,服务器里的杀毒软件根本没有察觉。

网站后门使用的都是网站的80端口来进行访问,利用脚本语言的便利性来进行编写后门代码,一个完整的后门通常都带有主动连接的一个代码,可以对网站进行上传,下载,修改,新建目录,执行系统命令,更改文件名称等管理员的操作。

5、怎样查找网站后门?
1)看网站代码的修改时间,如果有修改时间不正常的(距发现服务异常的最近时间,或者其它不正常的时间),说明这个文件很可能被植入后门代码,点开代码文件看有没有特殊的加密代码。有些杀毒软件也可以查出来网站木马的路径。
2)检查网站是否存在其它漏洞,服务器安全配置情况,如果程序是你熟悉的或是自己写的底层,可以自己检查下程序。也可以找专门的网站安全公司帮忙处理。
3)查看每个代码文件,搜索含有eval,post{} 、execute(request)等特征码,基本可以判断是不是网站后门。

相关文章:

  • 2021-12-04
  • 2021-11-05
  • 2021-12-06
  • 2021-11-27
  • 2021-10-08
  • 2021-08-31
  • 2021-12-06
  • 2021-11-20
猜你喜欢
  • 2022-12-23
  • 2021-08-15
  • 2022-12-23
  • 2021-11-05
  • 2023-04-06
  • 2021-12-06
  • 2021-12-02
相关资源
相似解决方案