怎么查询自己的网站是否被挂马（检查网站有没有被挂马）

请记住网站挂断进行调查的原因（通过处理过程）

请记住要调查分析过程，原因是挂断的原因。每年，一台服务器被挂断了。幸运的是，我熟悉隐藏在网站源中隐藏的源代码中的特洛伊木马文档。人们认为，在优化每日网站优化过程中，电台负责人经常遇到被网站劫持的问题。如何处理使用网站的网站以及如何调查？

本文与自己的处理过程进行了梳理和共享。

1）服务器防御非常重要

大多数网站管理员选择便宜且不可靠的服务器，这通常是最容易入侵的服务器。便宜的服务器室基本上不会打开安全保护功能，并且入侵者可以轻松地使用漏洞来执行权利。

我一直使用大型制造商的服务器产品，我建议使用阿里巴巴云，腾讯云，百度云等，这比小工厂相对保证。几天前，我的一位阿里巴巴云服务器获得了安全风险提醒短信。尽快登录到阿里巴巴云背景，并在Cloud Shield系统中找到一条消息。

该系统将提供后门文件的特定位置。基于此信息，您可以在网站程序中快速定位PHP Trojan后门文件。如下所示：

大多数人真的不容易发现，隐藏足够深和强大的模仿能力。

这是第二个Web后门文件。该名称与其他图片相同，通常很难找到。

我进行了下载和进一步的分析和研究。建议立即删除PHP后门文件。

计算机防病毒软件也已被检查并报告了药物

2）彻底检查电台程序的源代码

在正常情况下，当网站被恶意恶意跳跃时，应采取100％的措施来对该网站进行彻底调查。

特定方法，网站管理面板已在网站上包装和下载，本地计算机使用在线马检查 - UP软件进行分析。

建议使用Web Web杀死（Webshell）工具，如下所示：

D Shield Webshell检查软件

如果您不知道源代码，请与您的网站开发人员或模板生产商联系以协助处理。（通常收费）应尽快删除以消除隐藏的风险文档和后门程序（请记住原始数据网站的备份）

处理清洁到网站主机后确定源代码，以确保网站可以正确运行。

加强安全操作：

修改网站背景密码的复杂性和长度；

修改服务器管理面板的控制；

修改FTP帐户密码和其他信息；

检查服务器的安全日志维修漏洞；

购买服务器制造商的安全保护产品等；

3）分析网站后门的Wehshell文件

为了进行研究和研究，我专门分析了已检查的一些后门文件：如下所示

打开PHP后门文件以查看代码

为了方便所有人，将php的后门放在本地PHP环境中，以便每个人都可以看到后门程序的功能。

密码由上面的红色框标记。

入侵者可以通过后门的PHP入口轻松获得服务器主机的各种权限和操作，如下所示：

吓到汗水！交叉剖面

登录后，后门PHP文件的另一个接口和功能

我不说严肃。网站的重要性。作为网站管理员SEO人员，我们必须及时找到漏洞和后门来及时处理保护，并且后果是无法想象的。

4）最终的操作和保护随后的安全

我写了一篇有关虚拟主机安全性“如何修复被激进的网站”的安全性的文章。如果您有兴趣，可以单击查看。

我自己使用服务器。管理环境面板是宝塔。安装相应的防火墙和系统增强功能以实现它。

提醒人们，宝塔环境面板是当前服务器网站环境的最佳用途。建议新手服务器环境配置更喜欢宝塔BT面板。

对于新手，这里使用的BT.CN宝塔面板的环境安装过程（图形教程），请检查。

可以在您自己的宝塔面板中购买并打开相关的安全配置功能。需要付费一些功能。

（NGINX防火墙功能和配置图）

（Pagoda网站反污染功能和配置图2）

（宝塔系统增强功能和配置图3）

最后：我分享了侵入后门和马的服务器的过程。请记住，选择一台好的服务器，及时发现并监视网站的安全性，不要等到网站问题放大后。这是正确的。

网站悬挂马劫持经典案例分析“黑连锁去除想法”

我遇到了很多关于抢劫和抢劫的网站。大约一年左右后，我不小心遇到了一个网站，因为我今天没有直接分析挂马的方式，因为我今天没有直接分析悬挂马的方式，因为今天有点特别，今天想详细介绍。让我分解我普通马匹和清洁想法。

网站挂马的必然性

在正常情况下，您的网站并未被特别入侵。通常，入侵您的特殊入侵的网站不会被劫持。

因此，劫持通用网站将用于发布灰色广告或用作黑帽SEO。入侵您的网站的原因是，马匹使用批处理getshell工具，根据批量批量访问相同的漏洞漏洞，然后将相关劫持代码添加到您的网站程序中。将添加这一系列动作。这一系列的动作分批完成。

实际上，我认为，如果您发现自己的网站被劫持，那么您实际上可能会更加乐观。至少您会知道您的网站有严重的漏洞，但仅被工具劫持，而不是同行。专业的入侵者通常不会简单地为您挂马。它将有多严重？这取决于心情，而不是开玩笑，而且您对此一无所知。如果特洛伊木马的马藏得很好，这匹马会陪伴你一生，白色的头。

症状

简而言之，您通常会在搜索结果中搜索相关关键字或您自己的网站。您看到的标题可能不是您自己的网站标题。单击进口，您可能会跳到其他地方，或发现输入后网站是错误的。

喜欢：

最初是PS网站标题变成耻辱，内容不再（WO）（Hen）Enter（HN）

劫持分析

这种情况显然是由用户代理来判断的。如果用户代理是Baidu蜘蛛，它将返回广告。

通常在网站程序中插入JS，或在PHP或其他程序中插入代码。如果是JS，通常只要您远程致电一个人，就可以实现劫机。

上面提到的凤凰塔...好吧，这是PS.com的最初判断。因此，我以错误的方向开始了分析旅程。

步骤1：查看评论元素中的网络连接

网站正常打开时，首先查看脚本而无需异常加载

其中，加载的JS开放并查看异常脚本。目前，这有点恐慌。如果未引入外部脚本，则可能隐藏在现有的JS中。通常，它是隐藏的。因此，每一个JS文件都会检查一次，并且仍然没有发现。

步骤2：抓取分析

第一步未直接分析。通常，马被隐藏在深处，或者根本不使用的JS。那么，您需要如何捕捉包装分析？我在这里不说太多，您可以在我的上一篇文章中找到它。

首先复制跳跃场景：

将浏览器用户代理设置为Baidu Spider，在这里我牺牲了一个易于使用的Chrome插件

使用burpsuite抓住它，但是您需要先配置JS脚本，

配置代理，返回您，带您

获取主页，一定没有问题。向前看，这很重要。如果下一步是抓住JS，则首页尚未跳跃，表明JS有一个幽灵，但事实是...没有抓住JS，出来并直接捕获HTML页面。该页面是404，并且然后，篡改的主页直接跳出了！

这意味着？

加载主页文件时，即index.php时，解释程序开始爆炸。

在这一点上，您可以将吊马视为PHP，并且前端没有有用的信息。

步骤3：找到一个特洛伊木马

此时，姊妹论文发送了网站程序源代码。PS：姐妹纸防御，不要给服务器权限，而要提供源代码并给予所有内容！尽管没有什么可用的，但我至少我知道她绝对隐藏在其中！

通常，悬挂马计划将直接将黑链代码插入索引。这种情况在商业站出现更多，因此它自然会打开index.php。没有包括异常的PHP文件。

当我看到它时，我觉得这个例程仍然有点深，至少并不那么明显。

继续找到加载文件。此时，大脑孔是敞开的，直接转到数据库配置文件，然后结束这次马匹的旅程。是的，马在config.php文件中

“; exit;}？>

让我们进行简要分析，这已经是最简单的劫持代码。判断用户 - 如果它是Baidu Spider，则网页：http：// Z.4.thder.com/jie/70.html内容输出，Nowrong，这是您想要的凤凰信息；然后确定推荐人是否为www.baidu.com，然后加载以下JS。该JS是一层判断。其他页面弹出。无论如何，有菠菜等页面。

实际上，我没有发现太多相关的PHP文件，因为很明显，这匹马是分批实施的，并且该程序将不聪明地将马隐藏为深层。必须加载数据库文件。结果，其中没有加密，也没有加密，也没有加密。

步骤4：查找外壳

以下是找到外壳。我没有详细地找到它，但是我在同一目录中发现了一个后门，这很简单。

www.xxx.com/config/file.php？

这样，在此目录JC.PHP中写下句子

最后，我希望每个人的网站都安全，稳定且排名很高。