作者 今天一个朋友发来一个网站说网站被攻击了。我打开网站看了下,网页在浏览器里看着一切正常。看源代码的时候,发现了问题。网站的标题、描述、关键词都被修改了。这里记录一下处理的过程。
1. 查看网站的程序
网站的程序是用织梦系统,因为是织梦系统的网站。首页有静态访问,和动态访问两种。这个网站是动态访问的。然后就检查了首页文件 index.php 和模板文件,发现这两块是没有问题的。平时经常遇到的是生成一个静态的首页,这个首页有问题,其他的页面是正常的。看来这个问题,不是在这里。
2. 查看近被修改的文件
因为程序是 php的所就查找了,近一段时间被修改的php文件。
# 查找近7天新增或者被修改的php文件
find . -name '*.php' -mtime -7
# 查找被 /a/about.html 更晚的php文件
find . -name '*.php' -cnewer /a/about.html
因为织梦的程序会生成静态文件,通常有些单页只生成一次。找下生成时间,比这个文件更晚的文件。通过文件查找就找到了一些可疑的文件
./kosys.php
./data/safe/inc_safe_config.php
./data/config.cache.inc.php
./data/cache/listcache/90/5b/e5/905be555f4a9373271835a249545dad8.php
./data/cache/memberlogin/c4/ca/42/c4ca4238a0b923820dcc509a6f75849b.php
./data/enums/vocation.php
...
./index.php
./static/m/view.php
./static/m/index.php
./static/m/list.php
./dils.php
文件也不多,就一个一个的查看了下,如果是恶意文件,就是直接删除掉。恶意文件中通常会含有 base64_decode,还有就是经过编码的一大片密密麻麻的字符。经过以上的处理,打开再次刷新的时候网站已经恢复正常了。
查找网站被攻击的原因
首先是需要确定被攻击的时间。删除恶意文件 kosys.php的时候看了一下,文件产生的时间。然后就调取了,这段时间的web服务器的访问日志。发现了当天有好多次登陆。我问了下朋友密码是多少,他说是 12345678, 他说密码是12345678。然后又查看了下 post提交的相关的日志,发现访问了 好几次这个文件dede/file_manage_control.php。可是网站网站好长时间没更新了。说明肯定是在上传恶意文件。由此找到了原因网站被猜测出用户名和密码后,上传了恶意文件 。