网站被入侵后的修复和防范

发表时间:2013-02-17

 1、发现问题
通过查看页面代码,确定网站是否被入侵和控制
 
2、查找被篡改文件,确定入侵时间
找到篡改文件,可以根据文件修改时间确定被入侵时间,并根据时间反推,查找该时间断内的访问日志。以便定位到黑客入侵源。
 
3、根据入侵时间,查找日志
 
查找页面篡改时间前后的动态文件访问日志。
 
感知观点:这一些需要有一定的判断能力,因为入侵者必定会对WebShell的位置和名字进行伪装。
 
4、修复网站漏洞和被篡改内容
 
由于是采用的发布版CMS系统,存在何种漏洞在网上搜索便知。根据提示进行修复即可。控制目录写入访问权限及动态文件执行权限;修改网站数据库及后台密码;修复被篡改页面,替换原页面。
 
5、排查PHP木马
 
在网上下载一份PHP木马查找的代码,进行扫描。或使用如下命令搜索文件:
 
find /site/* -type f -name “*.php” |xargs grep “eval(”
find /site/* -type f -name “*.php” |xargs grep “base64_decode”
find /site -name “*.php” |xargs egrep “phpspy|c99sh|milw0rm|eval\(gunerpress|eval\(base64_decoolcode|spider_bc”
通过分析搜索结果,进行排查和删除后门。
 
6、根据IP反查入侵者
 
自行反查,涉及到的因素太多很难查找到真实的攻击者。例如是伪装过的IP、ADSL的动态IP、宽带共用的公网IP,都将不易进行追踪。如果情节严重的攻击,请直接联系公安机关,保留信息证据,要知道国家的系统是有上网行为记录的。
 
7、简单总结下
 
网络安全是木桶效应的完美体现,一个漏洞、一个权限的安全配置问题,都将是造成被入侵的重要因素。在日常的运维过程中,一定细心细致的做好每一步的安全防范,防患于未然。
 
感知观点:入侵者的篡改文件操作已经是触犯了法律,也请各位网络安全爱好者,不要随意模仿。