用户访问网站时会留下浏览记录,这些信息被存储在网站日志中。定期查看日志有助于掌握用户行为、了解网站运行状况,并及时发现潜在安全风险,提升整体安全性与运营效率。
1、 网站被挂马后,应立即查看日志,优先分析挂马前一至两个月的日志记录。通过打开日志文件,排查异常请求和新增的可疑文件,定位安全隐患。
2、 进入网站根目录后,找到名为lion.php的文件,打开发现其中包含黑客植入的前端代码,此类文件存在安全风险,建议立即删除以防止后续威胁。
3、 顺着线索继续深入,逐步推进。在include/inc/目录中,可以找到名为fun.php的文件。
4、 打开fun.php文件后,可看到其中包含了logo.txt文档内容。
5、 打开文件后,可见黑客遗留的加密代码。
6、 发现加密代码后,需进行解密操作。访问Thinkng.com网站,将logo.txt文件后缀修改为.php,随后上传待解密的PHP文件即可完成处理。
7、 解密后可发现这是一款黑客工具,在阿帕奇环境中运行代码即可显露其真实用途,既然是恶意工具,我们应当立即将其删除以确保系统安全。
8、 顺着线索逐步深入,或许会有意外发现。进入FTP后检查时间异常的PHP文件,可在可疑目录中找到几个修改时间不同的可疑文件,值得关注。
9、 言归正传,话不多说。在一堆可疑文件里,我注意到一张名为LOGO1.png的图片,显得格外异常。
10、 用记事本打开图片,可见黑客隐藏的加密代码。
11、 通过第六步的方法解密文件后,发现其中包含一条SQL语句,并已插入dede_mytag数据表。我查看该表时大吃一惊,原来广告位已被植入木马程序,存在严重安全隐患。
12、 以下是 dede_mytag 数据表中完整的挂马代码,尽管我不完全理解其原理,但为了帮助同行少走弯路,我认为有必要将其公开分享出来,供大家参考和防范。
