网站被挂马怎么快速查找木马 |
(本文适用于云服务器,虚拟主机可以直接参考第三种操作) 首先,守护神快速找到挂马文件(云服务器) 在云服务器访问:https://www.hws.com/soft/kill/,点击下载软件,下载地址:https://d.hws.com/free/HwsKill.zip,下载解压操作界面如下图所示: 选择“自定义查杀” 后出现如下界面: 选择站点所在路径 ,如下图 D:\wwwroot\testweb\wwwroot ,点击 “开始扫描” 若存在异常挂马文件 ,则在下图列表会显示具体的文件名和挂马类型等信息,双击条目可查看具体挂马内容: 另外,右键点击相关条目,参照下图“打开文件路径”和“打开日志”,将操作记录作为日志文件查看。确认是异常文件后,可以直接删除异常文件。 到目前为止,通过守护神杀云工具扫描清理异常文件的过程已经结束,但守护神无法找到所有挂马文件和内容,这并不意味着所有挂马的内容都已清理 清理挂马的文件或内容并不意味着网站是完全安全的。您需要联系程序开发人员检查程序漏洞以进行修复,或者下载最新版本的程序升级以提高程序安全性 如果没有技术人员处理程序问题,并且无法下载最新版本的程序,您可以使用360 document guard监视文件修改操作 2、360 文档卫士监视文件修改以防止重新挂起 360 文档卫士下载地址:http://weishi.360.cn/wendangweishi.html ,下载安装后的程序运行界面如下图所示: 前文中,通过护卫神云查杀工具扫描出来php后缀的挂马文件 ,打开360文档卫士,点击设置 ,在下图界面 自定义规则中 添加 *.php 后缀格式 ,点击保存 如下图 ,之前通过护卫神扫描出站点中存在Trojan.php 挂马文件,且进行删了操作 ,操作时间在5月14日的凌晨0:41, 在安装360文档卫士之后 ,见下图 ,监控到在 5月14日下午13:50 再次生成了一个Trojan.php文件 ,准确定位到了文件路劲及文件名称 ,以及创建时间 ,可直接删除掉异常文件即可 ,以使站点恢复到之前的状态;也可通过生成时间,对站点日志进行核实,看相关时间段访问的php文件,以协助找到后门文件 。 三、护卫神远程查木马文件(主要针对虚拟主机) 护卫神除了满足服务器上使用外,还可如下图填写ftp连接信息对虚拟主机进行扫描。 选择远程查杀 ,点击 “选择ftp” 添加ftp链接信息: 若扫描出异常文件,处理方式和前文“自定义查杀” 一致。 |