樱花三月
自网站中发现被上传恶意文件,插入恶意代码之后,对网站的安全开始敏感起来。实在担心万一有一天网站全面崩溃,数据全失,那太可怕。
于是,在做好安全设置的同时,开始关注数据备份,问空间服务商要来了网站数据库的链接和密码,开始导出数据库。
在没确定把网站恶意文件清除干净之前,备份工作也比较频繁。
真是担心什么来什么,前天导出数据库时,火绒报警,数据库发现backdoor/php.webshell.ad后门病毒。数据库中后门病毒?那拿下网站还不如探囊取物,这或许就是前几日网站莫名被上传恶意文件的源头吧,这咋办?百度之后,科普一下:
webshell是web入侵的脚本攻击工具。简单的说来,webshell就是一个asp或php木马后门,黑客在入侵了一个网站后,常常在将这些asp或php木马后门文件放置在网站服务器的web目录中,与正常的网页文件混在一起。然后黑客就可以用web的方式,通过asp或php木马后门控制网站服务器,包括上传下载文件、查看数据库、执行任意程序命令等。
不敢大意,在一知半解之时,只得用笨办法,一番操作,事后总结一下,三步算解决了问题吧。
第一步,找到藏有病毒的表。到底问题多严重,病毒在何处?既然整个数据库无法导出,那就拆分了它。可奇怪的是,当查杀一个一个表导出的文件,病毒竟然消失了。做了两件事情,第一关掉火绒,导出数据库,再导入本地,第二分批导出再导入本地数据库,两个过程对比,总发现一张表导入有问题。而这张wf打头的表来自安全插件Wordfence Security本身的数据。
第二步,本地测试停用、删除Wordfence Security插件后,(在安装的设置中选中删除插件一并删除数据)有问题的表被删除。再试。测试正常,没有发现病毒。
第三步,网站删除该插件,网站数据库导出,正常,无病毒提示。重新安装该插件。
致此,数据库backdoor/php.webshell.ad后门病毒清除完毕,虚惊一场,感谢没有机会一睹真容的病毒手下留情。
顺便花了时间把服务器中文件与系统、插件、主题的原文件对比一下,没有发现异样。
建网站不容易,多学习,多尝试!
害,
阿里云隔三岔五就要给我发邮件提醒:
xxx云服务器高危楼栋11个,xx楼栋80个,xxx什么风险,总之漏洞特多,但是我一直没管,一两年了都!
@牧羊人 哈,求教一两个大招,有你一点运筹帷幄的底气,主要是怕到时候木马文件到处开花,如野火烧不尽的小草。
@悠然 心静自然凉,我选择了不理他。。。等哪阵心情愉快了想折腾了再搞吧