記一次網(wǎng)站被掛馬原因排查分析流程。昨天一臺(tái)服務(wù)器被掛馬，幸好自己對(duì)服務(wù)器略有熟悉第一時(shí)間把隱藏在網(wǎng)站源碼中的木馬文件進(jìn)行處理。相信站長(zhǎng)SEO們?cè)谌粘＞W(wǎng)站優(yōu)化過(guò)程中經(jīng)常會(huì)遇到網(wǎng)站被黑惡意劫持的問(wèn)題。網(wǎng)站被掛馬怎么處理，如何進(jìn)行排查呢？

本文結(jié)合自己的處理流程進(jìn)行梳理并分享。

1）服務(wù)器防御性非常重要

多數(shù)站長(zhǎng)選擇便宜的不可靠的服務(wù)器，這往往最容易被入侵攻擊。廉價(jià)的服務(wù)器機(jī)房基本上不會(huì)開(kāi)啟安全防護(hù)功能，入侵者利用漏洞輕松可以進(jìn)行提權(quán)操作。

我本人一直使用大廠(chǎng)的服務(wù)器產(chǎn)品，推薦使用阿里云、騰訊云、百度云等，相對(duì)來(lái)說(shuō)比小廠(chǎng)有保障些。前些天我的一臺(tái)阿里云服務(wù)器收到安全風(fēng)險(xiǎn)提示短信，第一時(shí)間登錄阿里云后臺(tái)，找到云盾系統(tǒng)消息提示發(fā)現(xiàn)后門(mén)webshell文件，如下圖：

系統(tǒng)會(huì)提供具體的后門(mén)文件的路徑位置，根據(jù)這些信息可以快速定位到網(wǎng)站程序中的PHP木馬后門(mén)文件。如下圖所示：

一般人還真不太好發(fā)現(xiàn)，藏的夠深啊 ，還有很強(qiáng)的模仿能力。

這是第二個(gè)網(wǎng)頁(yè)后門(mén)文件，命名跟其他圖片一樣，一般很難發(fā)現(xiàn)。下圖所示

我進(jìn)行了下載方便后面進(jìn)一步的分析研究。建議立即刪除php后門(mén)文件。

電腦殺毒軟件也進(jìn)行了查殺報(bào)毒

2）徹底清查整站程序源碼

一般情況下當(dāng)網(wǎng)站被黑惡意跳轉(zhuǎn)，百分百中招應(yīng)該做的就是針對(duì)網(wǎng)站進(jìn)行徹底的清查。

具體方法，網(wǎng)站管理面板對(duì)站點(diǎn)進(jìn)行打包下載，電腦本地使用網(wǎng)馬查殺軟件進(jìn)行分析。

建議使用 D盾Web查殺(webshell查殺) 工具，如下圖：

D盾webshell查殺軟件

如果你對(duì)源碼不了解，請(qǐng)聯(lián)系你的網(wǎng)站開(kāi)發(fā)人員或者是模板制作人員協(xié)助處理。（一般會(huì)收取費(fèi)用）應(yīng)該第一時(shí)間把隱藏的風(fēng)險(xiǎn)文件和后門(mén)程序進(jìn)行剔除。（記得網(wǎng)站原始數(shù)據(jù)進(jìn)行備份）

確定處理干凈之后的源碼重新傳到網(wǎng)站主機(jī)當(dāng)中，確保網(wǎng)站正確運(yùn)行即可。

強(qiáng)化安全操作：

• 修改網(wǎng)站后臺(tái)密碼的復(fù)雜性和長(zhǎng)度；

• 修改服務(wù)器管理面板的控制權(quán)限；

• 修改FTP賬號(hào)密碼等信息；

• 檢查服務(wù)器的安全日志修補(bǔ)漏洞 ；

• 購(gòu)買(mǎi)服務(wù)器廠(chǎng)商的安全防護(hù)類(lèi)產(chǎn)品等；

3）分析網(wǎng)站后門(mén)Wehshell文件

為了進(jìn)行研究和學(xué)習(xí)，我特意把查殺出來(lái)的幾個(gè)后門(mén)文件進(jìn)行分析：如下圖

打開(kāi)其中PHP后門(mén)文件查看代碼

為了大家方便查看，把PHP后門(mén)放到本地PHP環(huán)境中運(yùn)行給大家看看后門(mén)程序的功能。

密碼就是上圖的紅框標(biāo)記出來(lái)的，進(jìn)行MD5解密后得到admins

入侵者通過(guò)自己的后門(mén)PHP入口，可以輕松獲得你服務(wù)器主機(jī)的各種權(quán)限和操作，如下圖：

嚇出一身冷汗！！！

另外一個(gè)后門(mén)PHP文件登錄后的界面和功能

嚴(yán)重性就不多說(shuō)了，網(wǎng)站的安全性多么重要啊。做為站長(zhǎng)SEO人員一定要及時(shí)發(fā)現(xiàn)漏洞和后門(mén)，及時(shí)處理做好防護(hù)，后果不堪設(shè)想。

4）后續(xù)安全終極操作與防護(hù)

之前有寫(xiě)過(guò)一篇關(guān)于虛擬主機(jī)安全文章《網(wǎng)站被篡改劫持怎么修復(fù)》 有興趣可以點(diǎn)擊進(jìn)行查看。

我自己使用的是服務(wù)器，管理環(huán)境面板是寶塔，安裝相應(yīng)的防火墻和系統(tǒng)加固功能來(lái)實(shí)現(xiàn)。

提示，寶塔環(huán)境面板是目前服務(wù)器網(wǎng)站環(huán)境最好用的，建議新手服務(wù)器環(huán)境配置首選 寶塔BT面板。

這里有關(guān)使用的文章 BT.CN寶塔面板環(huán)境安裝流程（圖文教程）新手請(qǐng)查看。

相關(guān)安全配置功能，在自己的寶塔面板中可以購(gòu)買(mǎi)開(kāi)啟，有些功能需要購(gòu)買(mǎi)付費(fèi)。

(Nginx防火墻功能及配置圖)

(寶塔網(wǎng)站防篡改功能及配置圖2)

(寶塔系統(tǒng)加固功能及配置圖3)

最后：關(guān)于一次服務(wù)器入侵后門(mén)網(wǎng)馬的過(guò)程就分享這么多，切記一點(diǎn)，選擇好的服務(wù)器，及時(shí)發(fā)現(xiàn)并監(jiān)控網(wǎng)站安全，不要等到網(wǎng)站問(wèn)題放大嚴(yán)重后果，百度懲罰流量下滑再處理就為時(shí)以晚了。

最最后，希望大家的網(wǎng)站都平安無(wú)事，穩(wěn)定 ，排名節(jié)節(jié)高。