記一次網站被掛馬原因排查分析流程。昨天一臺服務器被掛馬，幸好自己對服務器略有熟悉第一時間把隱藏在網站源碼中的木馬文件進行處理。相信站長SEO們在日常網站優化過程中經常會遇到網站被黑惡意劫持的問題。網站被掛馬怎么處理，如何進行排查呢？

本文結合自己的處理流程進行梳理并分享。

1）服務器防御性非常重要

多數站長選擇便宜的不可靠的服務器，這往往最容易被入侵攻擊。廉價的服務器機房基本上不會開啟安全防護功能，入侵者利用漏洞輕松可以進行提權操作。

我本人一直使用大廠的服務器產品，推薦使用阿里云、騰訊云、百度云等，相對來說比小廠有保障些。前些天我的一臺阿里云服務器收到安全風險提示短信，第一時間登錄阿里云后臺，找到云盾系統消息提示發現后門webshell文件，如下圖：

系統會提供具體的后門文件的路徑位置，根據這些信息可以快速定位到網站程序中的PHP木馬后門文件。如下圖所示：

一般人還真不太好發現，藏的夠深啊 ，還有很強的模仿能力。

這是第二個網頁后門文件，命名跟其他圖片一樣，一般很難發現。下圖所示

我進行了下載方便后面進一步的分析研究。建議立即刪除php后門文件。

電腦殺毒軟件也進行了查殺報毒

2）徹底清查整站程序源碼

一般情況下當網站被黑惡意跳轉，百分百中招應該做的就是針對網站進行徹底的清查。

具體方法，網站管理面板對站點進行打包下載，電腦本地使用網馬查殺軟件進行分析。

建議使用 D盾Web查殺(webshell查殺) 工具，如下圖：

D盾webshell查殺軟件

如果你對源碼不了解，請聯系你的網站開發人員或者是模板制作人員協助處理。（一般會收取費用）應該第一時間把隱藏的風險文件和后門程序進行剔除。（記得網站原始數據進行備份）

確定處理干凈之后的源碼重新傳到網站主機當中，確保網站正確運行即可。

強化安全操作：

• 修改網站后臺密碼的復雜性和長度；

• 修改服務器管理面板的控制權限；

• 修改FTP賬號密碼等信息；

• 檢查服務器的安全日志修補漏洞 ；

• 購買服務器廠商的安全防護類產品等；

3）分析網站后門Wehshell文件

為了進行研究和學習，我特意把查殺出來的幾個后門文件進行分析：如下圖

打開其中PHP后門文件查看代碼

為了大家方便查看，把PHP后門放到本地PHP環境中運行給大家看看后門程序的功能。

密碼就是上圖的紅框標記出來的，進行MD5解密后得到admins

入侵者通過自己的后門PHP入口，可以輕松獲得你服務器主機的各種權限和操作，如下圖：

嚇出一身冷汗！！！

另外一個后門PHP文件登錄后的界面和功能

嚴重性就不多說了，網站的安全性多么重要啊。做為站長SEO人員一定要及時發現漏洞和后門，及時處理做好防護，后果不堪設想。

4）后續安全終極操作與防護

之前有寫過一篇關于虛擬主機安全文章《網站被篡改劫持怎么修復》 有興趣可以點擊進行查看。

我自己使用的是服務器，管理環境面板是寶塔，安裝相應的防火墻和系統加固功能來實現。

提示，寶塔環境面板是目前服務器網站環境最好用的，建議新手服務器環境配置首選 寶塔BT面板。

這里有關使用的文章 BT.CN寶塔面板環境安裝流程（圖文教程）新手請查看。

相關安全配置功能，在自己的寶塔面板中可以購買開啟，有些功能需要購買付費。

(Nginx防火墻功能及配置圖)

(寶塔網站防篡改功能及配置圖2)

(寶塔系統加固功能及配置圖3)

最后：關于一次服務器入侵后門網馬的過程就分享這么多，切記一點，選擇好的服務器，及時發現并監控網站安全，不要等到網站問題放大嚴重后果，百度懲罰流量下滑再處理就為時以晚了。

最最后，希望大家的網站都平安無事，穩定 ，排名節節高。