昨晚凌晨，接到一位新客戶的安全求助，說是阿里云短信提示網(wǎng)站植入木馬文件。我們的SINE安全騰云網(wǎng)絡(luò)立即建立，安全應(yīng)急團(tuán)隊(duì)為客戶提供了阿里云賬號。密碼，然后登錄阿里云查看詳情，登錄云盾看到類似“網(wǎng)站后門-發(fā)現(xiàn)后門()文件”的安全提示事件級別：緊急，受影響資產(chǎn)：阿里云ECS：ID，然后發(fā)布網(wǎng)站木馬文件路徑地址：www safe.php。

網(wǎng)站安全事件描述：云盾盾檢測到有異常進(jìn)程試圖向磁盤寫入后門文件，導(dǎo)致一次入侵。若該行為非您主動，請及時刪除相應(yīng)文件。阿里云解決方案：請檢查WWW目錄是否存在并及時清除?？吹桨⒗镌铺峁┑哪抉R路徑和解決方案后，登錄客戶的服務(wù)器，發(fā)現(xiàn)www目錄下確實(shí)有一個.php文件。使用SFTP下載文件并打開php網(wǎng)站后門檢測，看到是一些加密的代碼。查看木馬代碼，如下圖：

這些加密的字符，也就是它們是什么？我們，SINE網(wǎng)站制作，將為大家普及它們。它們是網(wǎng)站木馬文件，相當(dāng)于我們電腦中的木馬病毒?？梢詫W(wǎng)站代碼進(jìn)行修改、上傳、下載等木馬功能。通常以asa、cer、asp、aspx、php、jsp、war等語言的腳本執(zhí)行文件命名，也可以稱為網(wǎng)站后門。攻擊者入侵網(wǎng)站后，木馬后門文件會上傳到服務(wù)器和網(wǎng)站根目錄。接下來，通過訪問特定的URL訪問網(wǎng)站木馬，控制網(wǎng)站，任意篡改。說白了就是你的網(wǎng)站被黑了。

根據(jù)阿里云盾給出的木馬文件路徑地址，我們在瀏覽器中打開看看：

如上圖，網(wǎng)站木馬

可以查看網(wǎng)站根目錄、上傳文件、查看系統(tǒng)基本信息、執(zhí)行命令、反彈提權(quán)、文件下載、服務(wù)器端口掃描、批量安裝、重命名、刪除文件、打包文件等管理員操作。功能太強(qiáng)大了，為什么要上傳客戶的網(wǎng)站？

網(wǎng)站一般都有漏洞，是攻擊者上傳的，比如網(wǎng)站上傳漏洞、SQL注入漏洞、XSS跨站漏洞、CSRF欺騙漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、遠(yuǎn)程包含漏洞、PHP解析漏洞、會上傳到網(wǎng)站木馬。我們的 SINE 對客戶的網(wǎng)站代碼進(jìn)行手動安全檢測，以及網(wǎng)站漏洞檢測。經(jīng)過全面檢查小程序開發(fā)，發(fā)現(xiàn)客戶網(wǎng)站存在遠(yuǎn)程代碼執(zhí)行漏洞。網(wǎng)站代碼沒有全面進(jìn)行非法SQL注入?yún)?shù)。前端用戶提交的列中的過濾和&的值導(dǎo)致在轉(zhuǎn)換賦值過程中執(zhí)行遠(yuǎn)程代碼，并可以偽造攻擊語句插入，導(dǎo)致服務(wù)器執(zhí)行代碼和上傳木馬后門。

修復(fù)客戶網(wǎng)站漏洞，去除網(wǎng)站木馬后門，安全過濾前端用戶輸入，加強(qiáng)變量賦值數(shù)字強(qiáng)制轉(zhuǎn)換，網(wǎng)站安全部署，文件夾權(quán)限安全部署，圖片目錄，緩存文件 目錄移除腳本執(zhí)行權(quán)限。

阿里云提示找到后門()文件如何解決

1.強(qiáng)制刪除阿里云盾給出的后門文件路徑。

2.使用開源程序的CMS系統(tǒng)升級修復(fù)bug。

3.修復(fù)網(wǎng)站漏洞，檢查網(wǎng)站是否存在漏洞，特別是上傳漏洞和SQL注入漏洞，嚴(yán)格過濾非法參數(shù)的輸入。

4.查看網(wǎng)站所有代碼，看是否有木馬后門文件，可以對比之前備份的文件，一一對比，然后查看文件的修改時間并刪除它們。

5.更改網(wǎng)站后臺地址。默認(rèn)是,等的目錄，建議改成更復(fù)雜的名字。即使利用sql注入漏洞獲取的賬號密碼不知道后臺在哪里也沒用。

6.網(wǎng)站的目錄權(quán)限為“讀”、“寫”和“執(zhí)行”php網(wǎng)站后門檢測，合理安全部署。如果你的網(wǎng)站多次被阿里云提示，說明你的網(wǎng)站還有漏洞。如果對網(wǎng)站漏洞修復(fù)不太了解，可以找專業(yè)的網(wǎng)站安全騰云網(wǎng)絡(luò)來解決阿里云的問題。