當網站被黑客入侵后，管理員要迫切做哪些工作？當然是先盡可能快地找出入侵入口，找出哪個地方被利用了，進而加以防范。本文記錄了某論壇被入侵后，管理員是如何快速找到黑客入侵入口并修補漏洞的，他的處理經驗值得大家學習。

發現異常

早上起來，像往常一樣打開論壇，發現進不去，趕緊上 QQ 準備聯系服務器管理員，卻發現服務器管理員已經給我留言：

發現論壇被入侵

查找病毒文件

論壇被入侵后，首要任務是找出病毒文件。

查找病毒文件（點擊圖片放大）

看這張查出木馬的截圖，原來是 php 木馬。

如果不用軟件查找，也可以自己觀察網站各文件的修改時間，判斷是否病毒文件或被病毒感染文件。

那這些文件又是如何上傳到服務器的呢？

分析網站日志

這個時候才知道網站日志的重要性，所以網站日志千萬不要關閉，且至少要保留2周的日志記錄。

由于網站首頁被篡改，所以通過首頁文件（index.html）的最后修改時間，去分析網站日志。

首頁修改時間

根據文件修改時間（日志內使用的是UTC時間，日志里的時間要減8小時），在日志內找到的相關操作：

2013-06-21 14:03:11 W3SVC129 123.157.149.29 POST /demo/upload/635074464204358063_ice.aspx action=edit&src=D%3a%5cHostingSpaces%5cfineuico%5cfineui.s1.kingidc.net%5cwwwroot%5c%5cindex.html 80 - 222.136.235.23 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+Trident/5.0) 200 0 0 10497 48738 1008

顯然，這個人222.136.235.23在站點內利用上傳功能上傳進了一個aspx木馬篡改了首頁文件。

/demo/upload/635074464204358063_ice.aspx

不得不看看 /demo/upload/ 這個目錄，果然，在這個目錄內發現了個可疑文件。

可疑文件

只分析該IP的訪問日志

在日志文件里不斷查找這個IP 222.136.235.23 的訪問記錄，發現他之前一直在 /demo/form/fileupload.aspx 這個頁面上傳文件。

從 338行 post了一個數據之后，就成功將他aspx木馬傳入了你的upload目錄內：

13:08:09  POST  /demo/form/fileupload.aspx
13:08:13  GET  /demo/upload/635074456895620028_safer.aspx
13:08:16  GET  /demo/upload/635074456895620028_safer.aspx

確定入侵入口

立即測試了一下 /demo/form/fileupload.aspx 這個頁面，上傳php，aspx文件都可以，而且傳了后，文件路徑就在下方輸出的圖片路徑內可以獲取。

成功上傳php文件

至此，入侵入口得以確定。

修補漏洞

為了防止有人繼續用這個漏洞傳入木馬或者篡改數據，把該文件名重命名。

/demo/form/fileupload.aspx -> /demo/form/fileupload__.aspx

再修改上傳代碼，對上傳文件類型加以判斷。

檢查系統用戶

修復了漏洞之后，不能以為就此完事，因為入侵者很可能對服務器或網站做了其他一些操作，比較常見的添加一個管理員帳號。

此時，服務器管理員必須檢查一次系統用戶，把異常帳號刪除，并把所有用戶重新命名和更改密碼。

此外，網站后臺管理員帳號也要檢查一遍，把異常帳號刪除，并把所有管理員帳號重新命名和更改密碼。

總結

通過本文的分享，讓大家知道一旦網站出現入侵，該如何去開展工作，而不是一籌莫展。

一般來說，入侵入口多是涉及用戶輸入和用戶上傳的地方，所以代碼的安全性相當重要。

最后，我不得不說一下，該論壇的安全設置是有一點問題的，管理員犯了多數人都犯的錯誤，那就是允許了上傳目錄執行腳本。服務器安全設置中，必須禁止上傳目錄執行腳本。

標簽: 黑客  入侵