遭遇backdoorphp.webshell.ad后门病毒

00:00/00:00

自网站中发现被上传恶意文件,插入恶意代码之后,对网站的安全开始敏感起来。实在担心万一有一天网站全面崩溃,数据全失,那太可怕。

于是,在做好安全设置的同时,开始关注数据备份,问空间服务商要来了网站数据库的链接和密码,开始导出数据库。

在没确定把网站恶意文件清除干净之前,备份工作也比较频繁。

真是担心什么来什么,前天导出数据库时,火绒报警,数据库发现backdoor/php.webshell.ad后门病毒。数据库中后门病毒?那拿下网站还不如探囊取物,这或许就是前几日网站莫名被上传恶意文件的源头吧,这咋办?百度之后,科普一下:

webshell是web入侵的脚本攻击工具。简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。

不敢大意,在一知半解之时,只得用笨办法,一番操作,事后总结一下,三步算解决了问题吧。

第一步,找到藏有病毒的表。到底问题多严重,病毒在何处?既然整个数据库无法导出,那就拆分了它。可奇怪的是,当查杀一个一个表导出的文件,病毒竟然消失了。做了两件事情,第一关掉火绒,导出数据库,再导入本地,第二分批导出再导入本地数据库,两个过程对比,总发现一张表导入有问题。而这张wf打头的表来自安全插件Wordfence Security本身的数据。

第二步,本地测试停用、删除Wordfence Security插件后,(在安装的设置中选中删除插件一并删除数据)有问题的表被删除。再试。测试正常,没有发现病毒。

第三步,网站删除该插件,网站数据库导出,正常,无病毒提示。重新安装该插件。

致此,数据库backdoor/php.webshell.ad后门病毒清除完毕,虚惊一场,感谢没有机会一睹真容的病毒手下留情。

顺便花了时间把服务器中文件与系统、插件、主题的原文件对比一下,没有发现异样。

建网站不容易,多学习,多尝试!

 

 

『悠然-守望角』历史上的这一天:

3 条评论

  1. 害,

    阿里云隔三岔五就要给我发邮件提醒:
    xxx云服务器高危楼栋11个,xx楼栋80个,xxx什么风险,总之漏洞特多,但是我一直没管,一两年了都!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

有人回复时邮件通知我