网站木马清理需要注意的地方:
1.无限生成页面核实后删除相关目录和文件(黑帽SEO寄生链一般都为非法信息,对站点影响较大,及时清 理干净)。
2.数据库(主要为access)插马的设置数据库目录不可执行脚本即可,请勿删除和修改数据库文件以免引起 损坏。
3.网站原文件(例如网站配置文件)被插入一句话木马,清理相关被插入的大马,不要直接删除该文件,以 免导致站点打不开。
4.网马务必手工删除,不要用工具的一键清理。可疑文件打开相关文件查看是否误报。
5.IIS解析漏洞目录(例如a.asp目录/注意是目录,不是文件),删除该目录。
6.Windows畸形文件名“com1~com9” “nul” "lpt1~lpt9"等不能直接删除的,把该文件拖到桌面的del.bat即可删除。
操作实例:
如上图,扫描出很多提示为木马的图片。查看的确为未经任何隐藏的asp木马内容。但是后缀为图片,在没有文件包含漏洞时是无法利用的。这里分析为站点后台存在弱口令或上传页面无验证,黑客尝试利用上传漏洞上传asp木马,但是未能成功。
如何处理:在确定文件为黑客直接上传的情况下,删除文件。上面提到是图片文件,不能直接入侵到站点,可以不删除。
如何加固:针对UploadFile目录,可以去除其执行脚本的权限,就算成功上传了asp、php文件,也不能执行。
如上图,被软件识别为加密后门,这种无法直接看到具体内容和操作,可以尝试通过网址直接访问测试看其功能。在不能确定其为webshell的情况下,则不要进行清理操作。
说明:部分程序提供商会对程序进行字符串加密,防止被篡改,或者留下恶意的后门。但是这种情况我们不能直接看到具体的源码,所以宁可放过不要误删。针对虚拟主机,都是企业站点,客户的需求很简单,访问时候正常打开,页面没有被篡改。所以在扫描清理时对文件的判断应该更宽松。
如上图,根据目录名和目录结构,我们可以看到这个站点为wordpress程序。images目录存在php文件,一般来说,以一个正常的程序员思维来考虑,是不会把图片目录用来存放php文件,这样不方便引用和管理。这里可以很肯定的判断为这些文件是后期被黑客所上传。
特别留意:部分黑客会在图片和其他附件目录存木马,然后在网站正常文件中对该文件进行包含引用。保险起见先通过notepad++等编辑器搜索全站的脚本文件是否有对该文件进行了包含。
同样我们看到wp-content\uploads目录页被上传了php文件。用过wordpress的都知道这个目录是上传图片和其他附件的目录,是不可能存放php\asp这些脚本的。
下面看两个比较常见也最容易把客户站点搞崩溃的网马和处理方法:
如上图,安全软件提示application\core\MY_Controller.php文件含有eval后门,查看该文件内容为站点核心文件。
打开这个文件查找code这关键词,定位到报后门的地方,分析发现的确为一个精心构造的后门。当发送参数中password匹配的情况下,执行发送的code参数中的代码。典型的一句话木马。
这种情况肯定不能直接删除这个文件,这样会导致站点无法访问。我们可以把代码段注释,让他后门失效即可。如下图是我的处理方式。(在对代码修改后,务必打开站点访问,看是否影响了站点的正常运行)
另外一中常见也常被我们同事直接把文件删除的情况:
如上图,提示aspcms的配置文件AspCms_Config.asp被写入了木马。打开该文件查看,发现在设置是否显示幻灯片的地方被写入了一句话asp木马代码。正常情况下这里是1或者0.而且这个文件为后台进行设置后保存设置的文件。经过分析可以知道该站点存在注入或弱口令被黑客直接登录了后台。通过访问客户该站点后台测试,在我测试了admin、admin888、123456三个密码后,成功通过123456进入了后台。
如何处理:
1.删除被插入的代码。
2.企业QQ或者电话通知客户,反馈当前的情况和潜在的风险,加强密码安全。
错误的处理方式:
如上图,把站点原文件重命名、直接删除,只会导致站点无法访问,引起客户投诉。
对关键的文件进行了修改或者删除后务必打开网站测试是否影响了网站的正常运行。
存在弱口令的站点,及时通知客户加强密码安全。
通过安全软件或IIS设置减少客户站点被篡改和入侵风险。
针对虚拟主机站点,另可遗漏不要多删除!
黑帽SEO寄生虫代码和网页篡改对站点影响最大,务必清理干净!
发现由于误删除站点文件导致客户站点打不开的情况,故障处理能力和日常工作部分各扣除3分。