网站中木马了!!!!
一、发现问题
这几天都在忙活这件事,用的是阿里云的服务器,还真的是要各种夸一下服务,出了问题:各种短信提示,邮箱提示,以及提供相应的解决办法。(虽然这些办法并没用......哭)
阿里说,我的服务器不断向某个IP发送SYN报文!!然后我的知识盲点就出现了:对Linux的不熟悉和对相关端口数据监听不懂!
两眼一抓瞎啊,Linux不熟还不是致命的,至少有相关基础,很快就能上手,这里的要求也不高。
致命的是那个什么SYN报文的事!
二、尝试解决问题
阿里云提供的方案是去“可以尝试通过安全狗、护卫神、http://webscan.360.cn/ 等进行扫描“,除了360的安全扫描是简单好用之外,另两个打开页面后看了一眼就关掉了。(论UI设计的重要性)
我还用过安全宝,不过它要求DNS要改为NSPOD才能用,这个来不及,也没必要,弃之。
经过扫描,也没发现病毒。
后来又用了http://safe.webscan.360.cn/ 去上传数据包查木马和后门,果然发现了问题。在某个生成的临时文件夹里面的文件发现了疑似后门的代码。检查结果如图所示
在这里要大赞一下360的这个页面的设计和操作体验,就一个字:简单直接好用!
唯一吐槽一下:你给出上图这样的结果,让我一行代码一行代码的去找可真是苦了我了。不能直接把相关特征代码标识出来? - - 。
三、继续解决问题
关于木马特征的代码,我查了一遍又一遍,就是没找到!!!html页面里的木马基本上就是<script 调用,<iframe 嵌套,<div display为0 这么几种 ,检查又检查还是没结果。
灵光一闪,把上述页面的代码分成若干段的小页面去检查,哪个页面有没有问题就很快清楚了。
果然,在其中一小段里面发现了问题,我仔细检查了一下,就下面这样一段疑似有问题。把这个删除后,果然就清爽了。如下图所示:
这算是哪门子木马特征?我完全不懂了。前面那个页面也是一个死链,图片也不存在。最大的可能是这个网址被举报过,而被360标记了。有人懂么?
看来这个还不是网站不断非法发送SYN报文的关键原因之所在!!
四、解决问题的主次
现在的关键还不是找到木马,而是先让网站能正常访问才行,不能耽误太久。这要是企业里的项目可不得了。
只好把整个文件做了个备份,然后按阿里云TS的说法把整个虚拟硬盘初始化了,重新配置了环境。
目前网站已经上线了一个。下一步就是要找到被挂马的原因。
另外一个疑似被挂马的站点,就先暂时搁浅,不上了。
还有一件非常重要的工作就是修改密码,相关的密码都要修改。
另外,如果有类似经历的童鞋,欢迎交流。
