如果网站被黑了,我们应该怎么查找后门
1:我们先登录主机,然后看文件是否全部被删除,如果有剩一些,或者全部被删,查一下主机服务器的log日志,然后我们看一下最新的记录,查查有什么函数。*就是未知,他参数的php文件名,or代表或者
比如:http://域名/*.php?*=* or *.txt
如果出现了这些参数,我们可以查一下*.php里面是不是有一些上传的代码,如果有可以删除掉。如果被加密,那就是后门在里面了。
解决方法1:出钱解密,如果没加密可以找懂后门的删除。
解决方法2:如果没有找到一些参数的。
我们可以查查有没有一些一句话后门的
比如代码:eval(
如果没有咋整呢,我们可以百度一下:PHP一句话后门,我们复制一些必要的然后去搜索整个源码有没有这些代码,如果有就再看看,如果没有就找加密的文件。一般只有菜刀不会被日志记录。所以这是一个最难搞的,cookie一般都会找提权入库,然后上传文件,所以是避免不了被log日志记录的,也就是一句话后门搞得鬼,可以多百度看看一些后门,希望该帖可以帮到你。
该帖转载:http://www.hrbwj.cc/?thread-328.htm D盾扫一下 有嫌疑就去那个文件里排查,有时间的一个文件一个文件看 guling 发表于 2020-3-12 11:58
D盾扫一下 有嫌疑就去那个文件里排查,有时间的一个文件一个文件看
不是什么d盾都可以扫到的
页:
[1]