网站被挂马紧急响应及恢复
某天,正安逸地划水,突然收到情报,公司某网站被黑了。惊得我一跳,这可不是一件小事
一、安全排查
赶紧搜索了一下网站关键词,标题已经被篡改了
点进去,加载缓慢,并自动跳转到了某博彩网站
查看网站源代码,可以看到有多处异常
在线编码转换,对应上了被篡改的内容
关系到公司形象,事态危急,需要赶紧联系资产管理员进行恢复
经过了解这个项目上线后就没有再进行过更新,事实上已经没有人维护了
通过管理员登录到windows应用服务器后,把网站项目文件下载到本地进行Webshell查杀,发现被植入大量木马后门
对系统进行杀毒扫描,暂未发现问题
查看系统日志,有暴力登录的行为
查看登录记录详细信息,发现诸多高危IP
nmap发现开放过多端口,其中不乏高危端口
排查网络连接、进程等暂未发现问题,就不详述了
二、网站恢复
1)在主机防火墙入站规则上关闭与业务无关端口
2)因为之前网站项目文件做过备份,webshell扫描没有问题后直接替换掉现在文件
3)网站已经恢复,但在搜索引擎上看到的仍然是之前被篡改的标题,点进去网站是正常的,但搜索结果上展示的还是之前的快照内容,可以通过投诉快照(百度投诉快照服务暂停维护)进行更新
4)安装主机防护终端,对入侵行为进行告警和阻断
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 上周热点回顾(2.17-2.23)