发现网站多出了许多莫名其妙的文件夹,打开之后发现都是黑链,原来这是网站挂马后生成的,我把这些木马文件删除后发现第二天、第三天又出现了,好烦人后来经过长时间探索终于找到了原因,并彻底清除。
工具/原料
1
挂马网站日志
2
服务器与FTP
方法/步骤
1
网站挂马后,首先看网站日志,可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志,找到可疑的请求与多出来的文件。
2
打开网站根目录,我们会看到命名为lion.php的文件,打开这个PHP文件,我们会看到黑客留下的前端代码。既然是黑客留下的,删除了吧
3
继续顺藤摸瓜,一点点往下走。在include/inc/目录下我们会看到fun.php这个文件。
4
打开fun.php这个文件,我们会发现里面包含logo.txt文档。
5
打开这个文件,我们会发现黑客留下的加密的代码。
6
看到这段加密的代码,我们就需要解密了,打开Thinkng.com网址,把logo.txt的后缀名改成.php,上传需要解密的PHP文件。
7
解密后,我们会发现这是黑客用的工具。在阿帕奇环境下,运行上述代码,我们可以看到这个工具的真面目。既然是黑客用的工具,我们删除吧。
8
继续顺藤摸瓜,一步一步走下去,也许会有意想不到的收获。打开FTP,查看时间异常的PHP文件,我们会在可疑的文件夹下面发现几个可疑的文件,因为时间不一样。
9
闲言少叙,太多了大家都不爱看。在那些可疑的文件中,我发现一张图片很可疑,图片的名字叫LOGO1.png。
10
用记事本打开这个图片,我们也会发现黑客留下的加密的代码。
11
用第六步的方法解密这个文件,发现了一句SQL语句,把语句插入到了dede_mytag数据表中。我好奇地打开了数据表,吓了一跳,原来广告位挂马。
12
下面是dede_mytag数据表中的详细的挂马代码,虽然我也不懂其中的原理。但是让看到这篇经验的同仁少走弯路,我有义务把它贴出来。
注意事项
1
本人对网站防黑这块懂得也不多,这篇经验如有错误,欢迎指出。
2
深入研究,总会有收获。
上一篇:怎样消除法令纹最有效