淩晨1點，接到朋友的求助，網站被黑了，訪問網站首頁會自動定向到一個×××，這個時間點都是該進入夢鄉的時間，可是國家正在開會，這個時間點的事情都比較敏感，沒有辦法，直接開幹吧。

1.查看首頁代碼

通過查看首頁（index.html/index.php）源代碼發現網站存在三處編碼後的代碼，如圖1所示，分別在title、meta屬性中加入了代碼，對代碼文件中的其它代碼進行查看，未發現有異常。

圖1 首頁中的可疑代碼

2. Unicode編碼轉換

從首頁中插入的代碼來看是Unicode編碼，將其復制到Unicode編碼在線解碼的網站（http://tool.chinaz.com/tools/unicode.aspx），並選擇Unicode轉ASCII，如圖2所示，解碼後的內容為菠菜宣傳語，換句話說就是黑鏈宣傳，網站被插入黑鏈了。

圖2分析網站被插入鏈接

3.服務器現狀

公司網站發現情況後，服務器前期運維人員已經離職，網站是托管在獨立服務器，目前僅僅只有管理員帳號，無法直接進入服務器。在該情況下，迅速開展以下工作：

（1）通過已知管理員帳號登錄前臺和後臺進行查看。登錄前臺可以使用，後臺無法使用，懷疑文件被修改或者刪除，無法通過後臺來查看如何被入侵的。

（2）對目標網站進行漏洞掃描。

（3）查看同IP其它網站。通過查看該IP地址同服務器其它網站，發現服務器上存在4個其它站點，後經詢問四個站點均不是公司架設的。懷疑黑客在服務器上架設站點用來進行SEO黑鏈服務。

4.網站漏洞分析

（1）確認網站系統情況

手工通過robots.txt文件確認網站是由齊博CMS v7版本，這個系統很多漏洞，一看心裏就涼了。

（2）發現列目錄漏洞

通過手工和掃描判斷服務器配置上沒有禁止目錄瀏覽，導致服務器所有目錄均可以被訪問，如圖3所示，通過upload_files可以看到很多447字節的php文件，第一感覺就是掛馬、黑鏈創建文件或者是後門文件，後面通過分析一句話後門的大小，一句話後門<?php @eval($_POST['cmd']);?>文件的大小為30字節，跟447字節相差太遠，直接排除一句話後門，當然有可能是加密的一句話後門。

圖3列目錄漏洞

（3）發現本地文件下載漏洞

通過了解齊博cmsv7版本存在的漏洞發現存在一個文件下載漏洞，其漏洞利用為：http://www.*******.org.cn/do/job.php?job=download&url=base64編碼文件地址，base64編碼文件地址，例如data/config.php需要將最後一個p更換為“<”，例如分別要讀取data/config.php、data/uc_config.php、data/mysql_config.php文件，其對應url中的未編碼地址應為data/config.ph<、data/uc_config.ph<、data/mysql_config.ph<，利用如下：

http://www. ****.org.cn/do/job.php?job=download&url=ZGF0YS9jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS91Y19jb25maWcucGg8

http://www.****.org.cn/do/job.php?job=download&url=ZGF0YS9teXNxbF9jb25maWcucGg8

在瀏覽器中訪問即可下載這些文件，在本地打開即可查看代碼，如圖4所示，讀取到數據庫配置是root賬號。

圖4獲取網站敏感文件內容

通過同樣的方法讀取upload_files/kongzhipin.php文件，其內容如圖5所示，典型的seo手法。

圖5網站seo黑鏈代碼源文件

（4）獲取本地物理地址

通過訪問cache/hack目錄下的search.php文件，成功獲取網站的真實物理路徑，如圖6所示，目前有mysql root賬號和密碼，有真實路徑，離獲取webshell已經很近了。

圖6獲取真實物理路徑

（5）文件上傳及iis解析漏洞

如圖7所示，可以通過ckfinder.html在其上傳目錄中創建1.asp和1.php目錄，如果服務器存在解析漏洞可以直接獲取webshell。

圖7文件解析及上傳漏洞

（6）數據庫導入漏洞

如圖8所示，通過文件目錄漏洞發現在數據庫備份目錄存有數據庫備份文件，前期通過文件下載漏洞獲取了數據庫用戶名和密碼，在這裏輸入後，可以使用舊數據覆蓋新數據。在實際測試時一定要小心，一旦使用該漏洞進行測試，對數據庫將是毀滅性的，數據庫導入一般都是先drop，後插入，因此執行此操作後，能成功恢復數據的可能性非常低，建議網站管理人員定期備份數據庫以及代碼文件！

圖8數據庫導入漏洞

1.1.2服務器第一次安全處理

1.備份當前網站代碼及數據庫

最重要的事情就是備份，備份數據庫及其代碼文件到本地，註意是備份當前的數據庫和源代碼，如果是要報案，則最好使用備份服務器恢復網站和數據，被入侵服務器留好數據，便於打擊和取證，備份源代碼和數據庫可以用在後面進行分析，對黑客進行追蹤和定位。

2.使用webshellkill查找後門文件

（1）查殺後門

個人覺得WebShellKill 這個工具不錯，可以自動檢測很多已知的後門文件和一些病毒文件，最新版本為2.0.9，其下載地址：http://www.d99net.net/down/WebShellKill_V2.0.9.zip，下載後選擇需要掃描的目錄即可開始查殺，如圖9所示，在該站點下找到幾百個黑鏈及後門文件，不看不知道，一看嚇一跳，入侵者真狠！對這些可疑文件進行查看和刪除。

圖9查殺後門文件

（2）網站大馬

如圖10所示，在服務器上發現多個webshell大馬，該webshell可以對文件、數據庫等進行操作，功能強大。

圖10網站大馬

3.沒有最黑，只有更黑

通過對網站進行大小查看，一個普通的網站竟然超過20G，明顯不正常，如圖11所示，在data_cache中，黑客用來做seo竟然高達21.8552萬個頁面，共計15.3G。

圖11黑客使用緩存文件高達15G大小

4.刪除服務器添加賬號及後門文件

（1）通過計算機管理-“本地用戶和組”-“用戶”，查看計算機上所有的用戶，經過朋友的確認，紅色框住用戶全部為黑客添加賬號，如圖12所示，共計7個賬號，將其刪除。

圖12黑客添加賬號

（2）查看管理員組和對應用戶所屬文件夾

如圖13所示，通過命令查看管理員及用戶賬號，並查看當前用戶的配置文件，在其配置文件中包含一些黑客攻擊工具，將這些文件全部打包壓縮，然後刪除用戶及其配置文件。

圖13查看管理員賬號及其黑客賬號配置文件

5.清理服務器後門文件

對於服務器後門文件清理就要靠個人經驗和技術，一方面可以借助安裝360等殺毒軟件來進行自動查殺，如圖14所示，系統盤下一堆病毒。通過殺毒軟件的查殺可以清理第一批，對於被入侵過的服務器，建議是重做系統！

圖14使用殺毒軟件對病毒進行查殺處理

實在沒有辦法只能手工對病毒進行清理。後續可以借助autoruns和processxp等工具對啟動項、服務、進程等進行查看，發現無簽名，可以采取以下一些辦法：

（1）將可疑文件直接上報殺毒網站進行引擎查殺。可以將樣本直接上報卡巴斯基和360等（https://virusdesk.kaspersky.com/、http://sampleup.sd.360.cn/）更多上報地址請查看http://www.stormcn.cn/post/782.html。

（2）通過百度等搜索引擎搜索名稱，查看網上有無相關資料。

（3）對可疑程序做好備份後，將其刪除。

（4）頑固病毒需要通過冰刃以及進程管理等工具強行結束進程，然後再刪除。

（5）通過CurrPorts（http://www.nirsoft.net/utils/cports.zip）查看當前網絡連接程序及其相關情況。

（6）實在不放心就是用抓包程序對服務器進行抓包，查看對外連接。

（7）記得清理shift後門和放大鏡等可以利用遠程桌面啟動的後門，建議將shift、放大鏡等程序直接清理或者禁用。

6.更改所有賬號及密碼

至此第一段落網站入侵清理完畢，對所有網站使用的賬號及密碼進行更改，更改所有密碼，包括遠程桌面，ftp、ssh、後臺管理、數據庫賬號密碼等，由於黑客入侵過，可能已經下載數據庫和獲取所有相關密碼，因此需要全部進行更改。

7.恢復網站正常運行

對網站進行恢復，使其正常運行，同時開啟防火墻，對外僅僅開放80端口和遠程管理端口。

1.1.3服務器第二次安全處理

1.服務器再次出現掛黑鏈現象

過了兩天服務器再次出現問題，發現網站再次出現黑鏈現象，百度搜索該網站域名，出現結果一訪問就指向×××。

2.手動清理後門文件

（1）再次使用webshellkill工具對站點進行查看。

（2）手工對網站所有php文件進行查看。對網站所有的php文件進行搜索，安裝文件大小進行排序，對超過20K以上文件都需要進行查看，如圖15所示，定位到大文件目錄，一看該文件多半是webshell，如圖16所示，打開以後果然是webshell，采取了加密，所以webshellkill無法查殺，將該文件的hash值直接上報給webshellkill工具。

圖15定位大文件位置

圖16查看文件內容

（3）手工查殺狡猾的後門

對網站的文件逐個進行查看，文件中有加密字符、亂碼的，多半是webshell，如圖17所示，另外還發現存在文件上傳頁面，這種通過工具很難查殺出來。

圖17另外加密的webshell

（4）通過分析日誌文件定位後門文件。對日誌文件中的php文件進行搜索，逐個進行驗證，這個可以通過逆火日誌分析軟件來實現，後續有介紹。

3.尋找首頁黑鏈源代碼文件

對於網站首頁的黑鏈源代碼文件，通過搜索百度等均未發現有價值的處理意見，後面通過分析，其代碼一定有加載出，對每一個js文件進行源頭查看，最終獲取一個編輯器加載的node.js文件，其內容如圖18所示，明顯就是這個來實現的，將其刪除！

圖18獲取黑鏈源代碼文件

第二段落的處理完畢後，網站恢復正常運行，同時修補了發現的漏洞，以及部分明顯程序漏洞。

1.1.4日誌分析和追蹤

1.對IIS日誌進行手工分析

（1）將IIS日誌文件生成一個文件，可以利用命令來實現：cat *.log>alllog.txt

（2）對源代碼中存在的後門文件進行逐個梳理，整理出文件名稱。

（3）在日誌中以文件名為關鍵之進行查看，如圖19所示，可以獲取曾經訪問過該文件的IP地址，這些地址可以用來進行跟蹤和案件打擊。

圖19手工追蹤黑客IP地址

2.黑客賬號配置文件分析和追蹤

（1）獲取黑客的QQ號碼

通過查看黑客添加的賬號下的配置文件，可以獲取黑客曾經使用過什麽工具，訪問過什麽站點等信息，如圖20所示，黑客曾經在該服務器上登錄過。

圖20獲取黑客訪問的QQ號碼

（2）獲取黑客攻擊高校源代碼

在黑客當前賬號下，還發現三個高校站點壓縮包，如圖21所示。

圖21黑客攻擊其他目標

2.利用逆火對網站日誌進行分析處理

（1）分析黑客攻擊IP地址

在虛擬機上安裝逆火日誌分析軟件（該軟件已經停止更新），如圖22所示，安裝完畢後，需要設置網站的url、首頁文件和日誌文件名稱及位置，完畢後即可進行分析，註意如果需要定位黑客，需要在選項中進行配置，將黑客的後門文件名稱加入到文件追蹤和黑客攻擊中。

圖22通過日誌分析黑客IP地址及其相關行為

（2）對網站進行漏洞分析

如果日誌文件足夠多，則可以通過統計分析，在訪問資源、錯誤等內容中去發現存在的漏洞和攻擊行為，這些分析將有助於修補漏洞和發現攻擊行為，對存在問題進行修復。

1.1.5總結及分析

回顧整個處理過程，看似簡單，卻非常耗費時間，通過跟圈內朋友交流，跟黑客攻擊目標網站進行seo黑鏈進行處理，就是一場戰爭，服務器上會有各種木馬和webshell，第一次以為自己清理完畢，結果還遺留有加密的webshell以及上傳類型的後門，這種後門的清理非常的耗費時間，尤其是在windows下。整個過程有以下一些體會跟大家分享：

1.備份數據庫及代碼文件到本地或者其它服務器。

2.使用webshellkill自動清理第一遍，對第一遍出現的shell後門要進行登記或者抓圖，特別要統計文件時間。

3.利用文件時間對文件進行搜索，對同時間點的文件要進行特別查看。

4.對所有相關文件類型進行搜索，對大個頭文件一定要進行手工查看。

5.可以windows操作系統下加載類linux系統對文件內容進行掃描，不放過文件包含後門。

6.對首頁掛馬的js文件可以這個進行核實，找到源頭。

7.將IIS日誌文件利用逆火日誌分析軟件進行分析處理，尋找漏洞和黑客IP。

8．安裝殺毒軟件，開啟防火墻，對服務器進行安全清理和加固，升級系統補丁程序。

對某入侵網站的一次快速處理