阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?

昨天是7月1日,我在晚上收到过一条短信,里面说:

【阿里云】尊敬的喜宝**午茶:云盾云安全中心检测到您的服务器:xx.xx.184.113(iZbp1j5nlzq4…)出现了紧急安全事件:发现后门(Webshell)文件,建议您立即登录云安全中心控制台-安全告警处理http://a.aliyun.com/f1.kcLKJ 进行处理。

阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.1

平常偶尔也会收到安全的提示,说有漏洞什么的。我看过之后都不以为意,不管它。

但是这条信息一看,就知道问题严重了。已经发现后门了。不用说就知道网站被人挂马了。这就不是漏洞那么简单了。别人可以直接把我网站都给端了。搞点其他的,比如挂黑链,挖矿,甚至给我网站删库跑跳都有可能。

而且,凌晨2点多,又发了一条。但那时候我已经躺下了。

所以,早上吃过早饭就开始想办法处理?先是登录阿里云安全中心,看到了一大排webshell提示:

阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.2

但是,怎么找到木马文件呢?

第一种方案:既然你阿里云有能力检测到,意味着你可以处理。知道webshell在哪个位置。直接处理就OK啊。

但是,没有这么简单。因为不是免费的。提示要“高级版及以上才能使用”。
阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.3
阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.4
多少钱呢?60元每月。我不是心疼钱。关键是我这台vps上面就三个站,一个纯静态html,另外两个是wordpress站点。都不盈利,也不是好重要。60元你让我用一次,我绝逼不不干的。放弃。

第二种方案:当然是自己找啊。

但是我技术能力有限。对php都了解不多,你想要我找到木马。可能是老大难的一件事。

所以,我首先想到的是,把网站程序打包到本地。用D盾来扫一扫。看看能不能找到木马。

由于是1M的小水管,网站程序有100多M,要下载10来分钟。这过程中,我又想到既然是7月1日发现的。那就检查一下文件更改的时间,说不定能找到线索。

因为只有两站,直接在宝塔后台就能看到文件修改时间。

没想到真的发现了问题。其中一个一两年没有动过程序的站点,竟然被人挂马了。生成了一些莫名其妙的php文件。是在wordpress的主题目录下。看来这主题有后门吗?(我是找到某破解版,极有可能)。但是从2018年开始就在用,没想到这次出问题。

阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.5

恰好我本地有这个主题当初的备份,主题目录下一共是34个文件,今天直接变成了45个文件。这些东西全是木马生成的。

我下载了其中一个php文件,打开一看,全是加密过的东西。不用说,虽然不懂,担是它是木马石锤。

阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.6

所以,木马也就找到了。

但是网站程序这时也下载完了。我想在D盾里面查一查,能不能找到木马?

结果一查,还真的是火眼金睛,没错和上面手动分析的一样,是其中一个网站主题文件和插件都有挂马。网上查了一下,这个“background-image-cropper”插件可能是罪魁祸首。因为不止一人提到过这插件可能导致木马。而且在我的初始备份里,没有这款插件,居然是自动生成的?

阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?_图片 No.7

知道了木马文件,怎么处理呢?

当然是用本地的初始文件进行替换了呗。

把被挂马的主题和插件全都删掉。再把wordpress版本升级到最新版。(原本版本还是4.9.15)

目前不得而知,这个漏洞是由于插件引起的还是主题引起的。我也分析不来代码,只能简单粗暴的,全体替换掉。

只是如果是主题引起的,那么原来的主题同样会再次受到攻击。

所以,我还在考虑是否更换一个主题。

未经允许不得转载:自学控 - 自己建站也轻松 » 阿里云盾提示“网站后门-发现后门(Webshell)文件”怎么处理?

分享到: 更多 (0)
avatar
自己建站,一点一滴积累经验。

评论 抢沙发

评论前必须登录!

立即登录   注册

自学控[zixuekong.com]

关于本站
切换注册

登录

忘记密码 ?

切换登录

注册