如何解决最新PHPstudy”后门事件”网站被挂木马 _PHPstudy

文章插图

最近，我前公司的网站telpo.cn被最新的木马攻击，接连发生了很多问题，网站经常断断续续地打开，然后流量被劫持，一时间排除问题才发现是被挂木马了。
相信站长seoer们在日常网站优化过程中也会遇到网站被黑恶意劫持的问题。网站被挂马怎么处理，如何进行排查呢？
本文结合自己的处理流程进行梳理并分享。
【服务器防御排查】
很多站长们选择购买了便宜的不可靠的服务器，这往往最容易被入侵攻击。廉价的服务器机房基本上不会开启安全防护功能，入侵者利用漏洞轻松可以进行提权操作。
前公司一直使用大品牌的云服务器，推荐使用阿里云、腾讯云、百度云等，相对来说比乱七八糟的品牌有保障些。
前些天前公司的一台阿里云服务器收到安全风险提示短信，第一时间登录阿里云后台，找到云盾系统消息提示发现后门webshell文件，如下图：

文章插图

系统会提供具体的后门文件的路径位置，根据这些信息可以快速定位到网站程序中的php木马后门文件。如下图所示：

文章插图

不懂代码的站长们还真不太好发现，所以这时候需要公司PHP研发和信息化人员投入精力去排查一下。
这是第二个网页后门文件，命名跟其他图片一样，一般很难发现。下图所示

文章插图

分析过后，进行了下载方便后面进一步的分析研究。建议立即删除php后门文件。

文章插图
【如何解决最新PHPstudy”后门事件”网站被挂木马】
服务器主机电脑杀毒软件也进行了查杀报毒
【整站源代码清查木马】
一般情况下当网站被黑恶意跳转或者被挂木马打不开页面，这时候应该做的就是针对网站进行彻底的清查。
大品牌服务器运营商在这时候就发挥他们的优势，技术售后能力强，你在后台提交工单，他们也会协助提供方案去解决问题。
具体方法，网站管理面板对站点进行打包下载，电脑本地使用网马查杀软件进行分析。
建议使用 D盾Web查杀(webshell查杀) 工具，如下图：

文章插图

D盾webshell查杀软件
如果你对源码不了解，请联系你的网站开发人员或者是信息化研发人员协助处理。（网站公司那边一般会收取维护费）应该第一时间把隐藏的风险文件和后门程序进行剔除。
（必须记得对网站原始数据进行备份）
确定把木马处理干净之后的源码重新传到网站主机当中，确保网站正确运行即可。

另外，强化安全操作：
1、修改网站后台密码的复杂性和长度；
2、修改服务器管理面板的控制权限；
3、修改FTP账号密码等信息；
4、检查服务器的安全日志修补漏洞；
5、购买服务器厂商的安全防护类产品等；

【事后分析木马被挂原因】
为了进行研究和学习，在SEO群里拿出事件的始末来讨论分析原因，才知道是Phpstudy的后门文件出现了状况（文章帖子：https://www.52pojie.cn/thread-1028079-1-1.html?from=groupmessage）。
因此，特意把查杀出来的几个后门文件进行分析，如下图：