【主机安全】网站中木马首页被篡改怎么办

2024-06-19 11:45:38 浏览数 (2)

首页被篡改的表现

1、在PC端通过浏览器直接输入网址访问网站时,表现为正常的网站内容。

2、当通过百度进行搜索,或者手机浏览器访问时,便有可能跳转到非法网站。

3、通过百度搜索官网时,可能会发现网站的标题和描述信息都已被篡改。

首页被篡改的情况

网站的首页遭到了篡改通常表现为以下情况:

1、原先的首页文件被删除并替换成一个静态文件,如index.html、default.html、index.thm、default.htm。

2、原先的首页文件仍然保留,但内容已被篡改,且同时生成了新的静态文件。

3、被篡改的文件,主体代码正常,但在其中加入了JavaScript代码,会判断访问来源,一旦识别到来自搜索引擎的访问,就会触发跳转操作。

4、关键信息被转码处理,用户无法直接看到具体内容,但搜索引擎能够将其解析成文字,这也是在搜索结果中看到网站内容被篡改的原因。

解决方法

一、临时恢复网站首页

删除被篡改的文件,并从备份中恢复原始的首页文件,或者删除掉首页文件中的恶意代码。

这是一个临时性的解决方案,因为首页文件很可能再次被替换和篡改。先确保网站的访问得到恢复,然后继续处理。

二、比对网站代码

在对比操作前,需要有一份完整的网站备份,特别是代码部分的备份。

登录到服务器或通过FTP连接到网站目录,仔细比对每个目录和文件与备份中的对应项。当发现可疑情况时,如:发现异常的文件名、在使用php编写的网站上出现了.jsp扩展名的文件、在上传目录中发现了动态文件、在静态素材文件夹中出现了动态文件、在程序目录中出现了静态文件.jpg的图片等,这些都有可能是木马。

动态文件是指程序代码,如.php、.asp、.jsp等 静态文件是指素材文件或静态网页,如.jpg、.png、.css、.html等

三、分析访问日志

apache或nginx通常都会生成网站日志,可以通过日志来分析,找出可疑的访问信息。日志大多为txt文本文件,可借助工具进行查看。

四、加强安全防护

服务器被植入了木马文件,必须从源头上解决问题,否则类似的问题仍会反复出现,可通过以下几方面入手。

1、设置服务器安全组或防火墙

只保留如80、443等常用端口,诸如22、21、3389、3306 等管理端口,默认可关闭,在需要使用的时候打开,使用完毕后再关闭,提高服务器安全性。

如何设置服务器安全组 https://cloud.tencent.com/developer/article/2295357

如何设置轻量应用服务器防火墙 https://cloud.tencent.com/developer/article/2345129

2、更新服务器操作系统补丁

及时登录服务器,根据提示更新服务器的安全补丁,可以提升服务器安全性。

Windows服务器可以通过系统自动更新操作安装补丁,Linux服务器则相对麻烦一些,需要自行安装。

3、检查程序漏洞

程序漏洞也可能是问题的根源,这与代码质量有很大关系。如使用开源产品则需时时关注产品官网的安全提示,按要求更新程序补丁。如自行开发的网站,则需于程序员配合,检查程序逻辑是否存在问题,是否设置了合理的文件上传限制等。

4、目录权限的配置

除上传目录、缓存目录外,主要的代码执行目录应设置为只读,上传及缓存目录设置为可读可写。通过权限的方式,防止文件被篡改。

如动态首页index.php,或长时间无需变更,可以设置为只读。

5、避免弱口令

后台管理账号设置应尽量复杂化,以增强安全性。密码方面,务必采用强密码,坚决杜绝使用弱密码,从而确保系统安全。

五、使用主机安全产品

腾讯云主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。

T-Sec 主机安全 https://cloud.tencent.com/product/cwp

六、重装系统

都不行?备份数据,重装系统吧。

总结

通过以上操作,可以一定程度上提升服务器和网站的安全性,减少被入侵的可能性。

0 人点赞