分享一下我网站被挂马后我是如何处理的 New

admin · 发表于昨天 23:01

马上注册，免费下载更多dz插件网资源。

您需要登录才可以下载或查看，没有账号？立即注册

×

【我不是专业人士，只是根据自己的经验做了一个简单的分享】
首先，你可以通过后台查看你网站最近修改的文件和新增的文件。确定那些是你自己修改和新增的（当然，别错把缓存目录文件当做异常文件）。把异常的文件和官方【同版本】文件做对比

其次，如果你用的宝塔，他里边有些防火墙或者某些软件，是可以扫描目录的，他扫描的结果，很多是误报，你要人工排查。比如在某个异常的时刻（近期或者某个特殊事件）新增了一个文件，这个文件代码有问题，甚至还有加密内容

我自己之前也出现过几次网站被挂马，然后百度收录了很多异常页面。已经收录的页面一般很难处理，你可以举报那个收录的页面，或者后期在问题处理之后去百度资源平台批量提交链接404

我使用阿里云，被挂马后直接发短信提示我有异常文件上传。然后我在阿里云下载了文件，然后根据里边代码，把部分特征代码片段加入宝塔的某些软件里边，然后去扫描。注意，被挂马，不仅要扫描网站目录，还要扫描其它目录，你的服务器都被攻破了，他们会把文件复制到其它地方去

有时候你看到的异常文件是加密的，你根据加密文件的特征代码，将加密内容解密（百度一下，很多网站就可以解密）。然后你甚至能发现更多的“特征代码”，比如我就发现过他们的登录地址、密码、账号等。这些特征代码你都可以添加到宝塔的安全软件里，进行扫描和拦截。

另外，之前DZ出现了一个问题，就是有人把木马伪装成图片，上传之后运行。你可以在NGINX里边，禁止某些目录运行php

我个人现在用ESA（好像我经常推荐大家使用ESA。其他云厂商也有相关的功能），很多人攻击你，都是用扫描的方式广撒网。你去查看你的网站日志，肯定可以看到很多错误的访问链接，比如非常普遍的：/wp-content/*** 因为很多扫描来自国外，他们才不管你的网站是DZ还是WP做的，就扫描。你可以在CDN，ESA，甚至服务器防火墙软件去拦截某些路径，或者特殊的文件名后缀。设置访问限频，或者直接拦截国外IP【注意，当你设置拦截IP或者手动设置IP黑名单的时候，要注意获取真实IP】

【关于获取真实IP】Discuz! X3.5 针对常见CDN/WAF/负载均衡，如何获取真实IP？
https://www.dismall.com/thread-15034-1-1.html

©DZ插件网所发布的一切资源仅限用于学习和研究目的；不得将上述内容用于商业或者非法用途，否则，一切后果请用户自负。
本站内容为站长个人技术研究记录或网络，不提供用户交互功能，所有内容版权归原作者所有。您必须在下载后的24个小时之内，从您的电脑中彻底删除上述内容。如果您喜欢该程序，请支持正版软件，得到更好的正版服务。
您在本站任何的赞助购买、下载、查阅、回复等行为等均表示接受并同意签订《DZ插件网免责声明协议》。
如有侵权请邮件与我们联系处理: discuzaddons@vip.qq.com 并出示相关证明以便删除。敬请谅解！