温馨提示:这篇文章已超过739天没有更新,请注意相关的内容是否还可用!
从哪里开始?
分析感染途径:
- 攻击者可以获取 CMS 管理面板、FTP 或 SSH 帐户的密码。通常,在感染了网站管理员计算机的木马的帮助下,密码被猜测或窃取。
- Web 应用程序中的漏洞可能允许第三方在网站上放置任意代码。
- 由于外部资源(附属程序、横幅系统、计数器)的感染,提供给您的代码可能会对用户造成危险。
查找浏览器恶意软件
在安全和违规页面上分析有关网站管理员的感染信息。该部分包含受感染页面的列表、检查日期和防病毒发布的裁决。通过单击判决名称中的链接,您将看到其描述和判决对应的代码的大致视图(直接出现在网站页面上的代码)。
您也可以使用虚拟机自己重现问题。
查找服务器恶意软件
- 停止 Web 服务器以保护站点访问者免受潜在危险。然后检查 Web 服务器文件和使用防病毒软件管理服务器的所有工作站(您可以使用免费的防病毒实用程序),并从主机和 CMS 管理面板更改所有密码:root、FTP、SSH。
- 如果您在感染之前制作了该站点的备份副本,请将其还原。
- 更新到站点使用的所有程序的最新版本,并查找已修复漏洞的描述。也许这将有助于了解该站点是如何被感染的。
- 删除具有提升权限的不必要用户,并仔细检查服务器是否存在攻击者可以用来在未经授权的情况下更改站点代码的 Web shell。
- 检查恶意代码:
- 在所有服务器脚本、CMS 模板、数据库中;
- 在 Web 服务器或服务器脚本解释器的配置文件中;
- 如果您使用共享主机,请检查位于同一服务器上的其他站点 - 整个服务器可能已被感染。
恶意代码的迹象:
- 代码是外来的或不熟悉的,与备份或版本控制系统不匹配。
- 混淆(不可读、非结构化)的代码。
- 文件修改日期与感染时间相同或更晚。此设置不可靠,因为文件的修改日期可能会被病毒更改。
- 使用恶意代码特征的功能。PHP 语言的此类函数示例:
- 动态代码执行(eval, assert, create_function);
- 混淆(base64_decode, gzuncompress, gzinflate, str_rot13, preg_replace);
- 加载远程资源 ( file_get_contents, curl_exec)。
恶意代码已删除,下一步是什么?
如果 Yandex 机器人在下次扫描期间未检测到感染,则该站点在搜索结果中的危险标记将被删除。要加快重新验证速度,请在网站管理员的安全和违规页面上,单击我已全部修复按钮。
我们建议您在感染后的几周内定期重新检查文件和站点代码,以防被利用的漏洞尚未修复或攻击者仍然可以访问该站点。
如果你发现一些有趣的东西
Yandex 不断寻找和研究新型感染,并在Yandex 博客上为网站管理员发布研究结果。
如果您在您的网站上发现恶意或可疑代码,请将其发送给专家进行分析。
免责声明:本文来自Yandex站长平台,不代表0oD三一o0的观点和立场,如有侵权请联系本平台处理。
还没有评论,来说两句吧...