织梦网站中马后怎样查找木马
织梦网站挂马的风险很大,以往挂马后都是用备份替换。可是我替换之后,第二天又出了好多多余的木马文件,第三天木马文件的占容量又变大了,于是我就删除了,可删除之后,木马文件又出来了。我怒了,一定要找出原因来,经过好几天查找,终于找到了原因。当然也感谢黑客,让我也长见识了。
操作方法
- 01
网站挂马后,首先看网站日志,可以拿挂马前一周或者一个月甚至两个月前的日志来进行分析。我们打开网站日志,找到可疑的请求与多出来的文件。
- 02
打开网站根目录,我们会看到命名为lion.php的文件,打开这个PHP文件,我们会看到黑客留下的前端代码。既然是黑客留下的,删除了吧。
- 03
继续顺藤摸瓜,一点点往下走。在include/inc/目录下我们会看到fun.php这个文件。
- 04
打开fun.php这个文件,我们会发现里面包含logo.txt文档。
- 05
打开这个文件,我们会发现黑客留下的加密的代码。
- 06
看到这段加密的代码,我们就需要解密了,打开Thinkng.com网址,把logo.txt的后缀名改成.php,上传需要解密的PHP文件。
- 07
解密后,我们会发现这是黑客用的工具。在阿帕奇环境下,运行上述代码,我们可以看到这个工具的真面目。既然会黑客用的工具,我们删除吧。
- 08
继续顺藤摸瓜,一步一步走下去,也许会有意想不到的收获。打开FTP,查看时间异常的PHP文件,我们会在可疑的文件夹下面发现几个可疑的文件,因为时间不一样。
- 09
闲言少叙,太多了大家都不爱看。在那些可疑的文件中,我发现一张图片很可疑,图片的名字叫LOGO1.png。
- 10
用记事本打开这个图片,我们也会发现黑客留下的加密的代码。
- 11
用第六步的方法解密这个文件,发现了一句SQL语句,把语句插入到了dede_mytag数据表中。我好奇地打开了数据表,吓了一跳,原来广告位挂马。
- 12
下面是dede_mytag数据表中的详细的挂马代码,虽然我也不懂其中的原理。但是让看到这篇经验的同仁少走弯路,我有义务把它贴出来。