阿里雲伺服器 提示網站後門文件提醒該如何解決？

早上剛上班就有新客戶諮詢我們Sinesafe安全公司反映說收到一條阿里雲的簡訊過來，內容為：網站木馬文件提醒

2018-06-20 09:20:49

尊敬的***網：

您的虛擬主機中有文件觸發了安全防護報警規則，可能存在webshell網頁木馬，您可以登錄虛擬主機控制台-對應主機的"管理"文件管理-網站木馬查殺功能確認是否為惡意文件，相關幫助文檔請參考網站木馬查殺幫助。

具體存在掛馬的主機列表如下：IP地址域名

webshell網頁木馬

一、什麼是網站後門文件webshell網頁木馬呢？

其實網站webshel網頁木馬l就是一個asp腳本或php腳本木馬後門，黑客在入侵了一個網站後，常常會在將這些 asp或php木馬後門文件放置在網站伺服器的web目錄中，與正常的網頁文件混在一起。然後黑客就可以用web的方式，通過asp或php木馬後門控制網站伺服器，包括上傳下載編輯以及篡改網站文件代碼、查看資料庫、執行任意程序命令拿到伺服器許可權等。阿里雲的主機管理控制台中的提示圖：

阿里雲控制台提示存在網站後門文件

二、網站後門文件webshell網頁木馬是如何出現的呢？

1）通過網站自身的程序漏洞如上傳圖片功能或留言功能,本身網站的程序用的就是開源的,而且還是經過網站開發公司在這個開源程序基礎進行的二次開發,而且網站本身就留了後門,因為開源的程序作者不是傻瓜,肯定有利益可突的。

2）黑客通過sql注入獲取管理員的後台密碼，登陸到後台系統，利用後台的管理工具向配置文件寫入WebShell木馬，或者黑客私自添加上傳類型，允許腳本程序類似asp、php的格式的文件上傳。

3）利用後台功能的資料庫備份與恢復功能獲取webshell。如備份時候把備份文件的後綴改成asp。或者後台有mysql數據查詢功能，黑客可以通過執行select..in To outfile 查詢輸出php文件，然後通過把代碼插入到mysql，從而導致生成了webshell的木馬。

4）伺服器里其他站點被攻擊牽扯到自己的站點被跨目錄上傳了網站木馬，或者伺服器上還搭載了ftp伺服器，ftp伺服器被攻擊了，然後被注入了webshell的木馬，然後網站系統也被感染了。

5）黑客直接攻擊拿到了伺服器許可權，如果黑客利用溢出漏洞或其他的系統漏洞攻擊了伺服器，那麼黑客獲取了其伺服器的管理員許可權，就可以在任意網站站點目錄里上傳webshell木馬文件。

網站後門文件

三、如何防止系統被上傳WebShell網頁木馬?

1 )網站伺服器方面，開啟系統自帶的防火牆，增強管理員賬戶密碼強度等，更改遠程桌面埠，定期更新伺服器補丁和殺毒軟體。

2）定期的更新伺服器系統漏洞（windows 2008 2012、linux centos系統），網站系統升級，盡量不適用第三方的API插件代碼。

3）如果自己對程序代碼不是太了解的話，建議找網站安全公司去修復網站的漏洞，以及代碼的安全檢測與木馬後門清除，國內推薦SINE安全公司、綠盟安全公司、啟明星辰等的網站安全公司，做深入的網站安全服務,來保障網站的安全穩定運行，防止網站被掛馬之類的安全問題。

4）盡量不要把網站的後台用戶的密碼設置的太簡單化,要符合10到18位的大小寫字母+數字+符號組合。

5）網站後台管理的路徑一定不能用默認的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。

6）伺服器的基礎安全設置必須要詳細的做好,埠的安全策略，註冊表安全，底層系統的安全加固，否則伺服器不安全,網站再安全也沒用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！