分享一下我网站被挂马后我是如何处理的 New
2025/12/02 23:01:46
【我不是专业人士,只是根据自己的经验做了一个简单的分享】
首先,你可以通过后台查看你网站最近修改的文件和新增的文件。确定那些是你自己修改和新增的(当然,别错把缓存目录文件当做异常文件)。把异常的文件和官方【同版本】文件做对比
其次,如果你用的宝塔,他里边有些防火墙或者某些软件,是可以扫描目录的,他扫描的结果,很多是误报,你要人工排查。比如在某个异常的时刻(近期或者某个特殊事件)新增了一个文件,这个文件代码有问题,甚至还有加密内容
我自己之前也出现过几次网站被挂马,然后百度收录了很多异常页面。已经收录的页面一般很难处理,你可以举报那个收录的页面,或者后期在问题处理之后去百度资源平台批量提交链接404
我使用阿里云,被挂马后直接发短信提示我有异常文件上传。然后我在阿里云下载了文件,然后 根据里边代码,把部分特征代码片段加入宝塔的某些软件里边,然后去扫描。注意,被挂马,不仅要扫描网站目录,还要扫描其它目录,你的服务器都被攻破了,他们会把文件复制到其它地方去
有时候你看到的异常文件是加密的,你根据加密文件的特征代码,将加密内容解密(百度一下,很多网站就可以解密)。然后你甚至能发现更多的“特征代码”,比如我就发现过他们的登录地址、密码、账号等。这些特征代码你都可以添加到宝塔的安全软件里,进行扫描和拦截。
另外,之前DZ出现了一个问题,就是有人把木马伪装成图片,上传之后运行。你可以在NGINX里边,禁止某些目录运行php
我个人现在用ESA(好像我经常推荐大家使用ESA。其他云厂商也有相关的功能),很多人攻击你,都是用扫描的方式广撒网。你去查看你的网站日志,肯定可以看到很多错误的访问链接,比如非常普遍的:/wp-content/*** 因为很多扫描来自国外,他们才不管你的网站是DZ还是WP做的,就扫描。你可以在CDN,ESA,甚至服务器防火墙软件去拦截某些路径,或者特殊的文件名后缀。设置访问限频,或者直接拦截国外IP【注意,当你设置拦截IP或者手动设置IP黑名单的时候,要注意获取真实IP】
【关于获取真实IP】Discuz! X3.5 针对常见CDN/WAF/负载均衡,如何获取真实IP?
https://www.dismall.com/thread-15034-1-1.html
首先,你可以通过后台查看你网站最近修改的文件和新增的文件。确定那些是你自己修改和新增的(当然,别错把缓存目录文件当做异常文件)。把异常的文件和官方【同版本】文件做对比
其次,如果你用的宝塔,他里边有些防火墙或者某些软件,是可以扫描目录的,他扫描的结果,很多是误报,你要人工排查。比如在某个异常的时刻(近期或者某个特殊事件)新增了一个文件,这个文件代码有问题,甚至还有加密内容
我自己之前也出现过几次网站被挂马,然后百度收录了很多异常页面。已经收录的页面一般很难处理,你可以举报那个收录的页面,或者后期在问题处理之后去百度资源平台批量提交链接404
我使用阿里云,被挂马后直接发短信提示我有异常文件上传。然后我在阿里云下载了文件,然后 根据里边代码,把部分特征代码片段加入宝塔的某些软件里边,然后去扫描。注意,被挂马,不仅要扫描网站目录,还要扫描其它目录,你的服务器都被攻破了,他们会把文件复制到其它地方去
有时候你看到的异常文件是加密的,你根据加密文件的特征代码,将加密内容解密(百度一下,很多网站就可以解密)。然后你甚至能发现更多的“特征代码”,比如我就发现过他们的登录地址、密码、账号等。这些特征代码你都可以添加到宝塔的安全软件里,进行扫描和拦截。
另外,之前DZ出现了一个问题,就是有人把木马伪装成图片,上传之后运行。你可以在NGINX里边,禁止某些目录运行php
我个人现在用ESA(好像我经常推荐大家使用ESA。其他云厂商也有相关的功能),很多人攻击你,都是用扫描的方式广撒网。你去查看你的网站日志,肯定可以看到很多错误的访问链接,比如非常普遍的:/wp-content/*** 因为很多扫描来自国外,他们才不管你的网站是DZ还是WP做的,就扫描。你可以在CDN,ESA,甚至服务器防火墙软件去拦截某些路径,或者特殊的文件名后缀。设置访问限频,或者直接拦截国外IP【注意,当你设置拦截IP或者手动设置IP黑名单的时候,要注意获取真实IP】
【关于获取真实IP】Discuz! X3.5 针对常见CDN/WAF/负载均衡,如何获取真实IP?
https://www.dismall.com/thread-15034-1-1.html