假设您正在使用 WordPress。它没有扩展名 .py、.pl、.cgi、.so、.c、.phtml、.php3。如果你发现这样的文件,那么很有可能是黑客所为。当然,这可能是错误的发现,但此类文件通常包含恶意代码。
分析文件是否有奇怪的属性或可疑的创建日期
请注意其属性不特定于该服务器的文件。例如,所有.php脚本都是通过ftp/sftp导入的,用户是user,只有少数文件是通过用户www-data上传的。此类文件需要重新检查。创建日期早于 Web 资源本身的 房主数据库 创建日期的脚本也应该引起怀疑。要更快地找到有问题的文件,请使用 Unix“find”命令。
通过大量.html或.php文件识别出入口
目录中存在大量(最多数千个).php 或 .html 文件可以表明门口的存在。
使用日志
您可以使用 Web 服务器日志、FTP 和邮件服务查找恶意代码和受感染的脚本。在邮件服务器日志或邮件列表中的信件标题中查找垃圾邮件的发送日期和时间。将它们与 access_log 中的查询进行匹配。这将使您能够确定邮件是如何进行的,并帮助您找到其脚本。
要了解黑客攻击时导入了哪些文件以及更改了哪些文件,您需要分析 FTP xferlog 传输日志。您还可以确定这些操作的来源。如果邮件服务器日志配置正确,它将包含发送垃圾邮件的脚本的名称或其路径。如果 PHP 设置正确,则可以在邮件列表中的电子邮件的服务标头中找到相同的信息。
如果您检查 CMS 和插件的主动保护日志,您将能够看到对 Web 资源进行了哪些攻击以及哪些攻击是成功的。通过分析access_log和error_log,如果你知道攻击者使用的脚本名称、UserAgent或IP地址,你就可以看到攻击者的行为。最坏的情况是,研究站点遭到攻击当天发出的 POST 请求。通过这种分析,有时可以找到上次黑客攻击之前已放置在服务器上的其他恶意脚本。
完整性控制
如果采取预防措施,随后检测网站上包含恶意代码的程序并不困难。这是完整性监控程序的主要任务,它可以让您快速确定网络资源是否已被黑客攻击。最有效的方于版本控制系统(git、cvs、svn)之下。如果 .gitignore 配置正确,您可以使用 gitstatus 命令跟踪任何更改,并使用 gitdiff 查找受感染的脚本和已修复的文件。
此外,您还将拥有该网站的备份副本,因此可以快速恢复。要监视目录和文件访问以及文件系统更改,经验丰富的网站站长和管理员可以使用auditd、inotify、tripwire 和其他跟踪机制。
并不总是可以在服务器上安装完整性监控系统和第三方服务。如果这是共享托管,则无法配置系统服务和版本控制系统。幸运的是,有许多用于 Web 资源管理系统的好工具。
一种选择是在站点上安装插件或脚本来监视文件的更改。一些CMS,例如Bitrix、DLE,已经具有变更控制功能和完整性检查机制。如果您的主机有 ssh,您可以使用以下命令创建示例文件系统
ls -lahR> 原始文件.txt
如果出现问题,您需要留下新的印象,并使用 Araxis Merge Tool、Beyond Compare 或 WinDiff 将其与参考印象进行比较。