做为一个运维人员要经常面对各种问题,其中不可避免的就是网站入侵问题,据观察此类问题基本上是为了挂马、流量攻击、拖库,除了拖库对网站安全影响很大,挂马和流量攻击的危害性相对比较小。大部分网站都会面临被挂马的问题,更甚者在挂马页竟然写着“友好往来,拒绝删链,否则后果自负”,这对服务器运维人员来说简直是赤裸裸的挑衅。
一般的运维人员对这种问题往往没有太好的解决办法,只是简单的删除链接恢复网站,但没过几天问题依然没有解决,挂马依然存在,双方就这样在删除与添加中对峙。
有好多客户打电话过来反映网站被挂马了,咨询网站挂马之后该如何处理,具体问客户什么时间被挂的,客户大部分都说不出来具体时间,他们的解决办法也很简单,挂完之后直接删除,然后继续这场无头的拉锯大战,其实这是不对的。
如果我们发现网站被入侵之后,首先要做的不是删除,而是保留证据,第一步操作是找到文件的具体修改时间,要把这个时间点确定,只有时间点确定之后才能有后续的操作,如果你连自己网站什么时候被入侵的都不知道,还谈什么后续的处理呢?
第二步:查找相关日志
找到文件的修改时间之后,马上查找对应时间的网站访问日志、服务器登录日志、ftp日志,按这个时间点查询肯定会有蛛丝马迹,找日志的目地是为了找到我们的程序或者服务器的漏洞,只有找到漏洞,把漏洞封堵才是解决问题的根本,不然漏洞给人留着,随时都可以进行修改,你所有的工作都白做了。
注意:windows日志和文件时间会有8个小时的时间差!
第三步:漏洞修复
如果是网站的漏洞,通过网站访问日志就可以看到,一般文件修改时间点的日志前后会有大量不正常访问页面,请求方式大部分都是post,网站访问基本上是get,如果是post请求就需要特别注意了,有的时候找到的文件是黑客上传的文件,然后要根据这个文件创建的时间重复之前的操作,直到找到根本,这里面大部分都是编辑器上传漏洞引起的,fck问题居多。
温馨提示:使用编辑器的时候一定要主要上传的处理,不要使用编辑器默认的上传处理,默认的上传处理是没有用户验证的,也就是说别人知道这个上传地址可以上传任意文件,能传文件也就能传webshell,否则,一时的省心到时候哭都来不及了。
网站遭遇入侵之后,一定要查找入侵原因,把漏洞修改,这样才能彻底解决问题,是服务器安全没有做好,还是程序安全没有做好,把该处理的处理好,彻底杜绝后患,同时要把安全时刻放在心上,时刻保留安全意识,只有这样才能减少网站被入侵的风险。