如果网站被黑了，我们应该怎么查找后门

xinchen · 发表于 2020-3-12 09:13:56

马上登陆，加入晨风

您需要登录才可以下载或查看，没有账号？立即注册

×

1：我们先登录主机，然后看文件是否全部被删除，如果有剩一些，或者全部被删，查一下主机服务器的log日志，然后我们看一下最新的记录，查查有什么函数。

*就是未知，他参数的php文件名，or代表或者

比如：http://域名/*.php?*=* or *.txt

如果出现了这些参数，我们可以查一下*.php里面是不是有一些上传的代码，如果有可以删除掉。如果被加密，那就是后门在里面了。

解决方法1：出钱解密，如果没加密可以找懂后门的删除。

解决方法2：如果没有找到一些参数的。

我们可以查查有没有一些一句话后门的

比如代码：eval(

如果没有咋整呢，我们可以百度一下：PHP一句话后门，我们复制一些必要的然后去搜索整个源码有没有这些代码，如果有就再看看，如果没有就找加密的文件。一般只有菜刀不会被日志记录。所以这是一个最难搞的，cookie一般都会找提权入库，然后上传文件，所以是避免不了被log日志记录的，也就是一句话后门搞得鬼，可以多百度看看一些后门，希望该帖可以帮到你。

该帖转载：http://www.hrbwj.cc/?thread-328.htm

guling · 发表于 2020-3-12 11:58:05

D盾扫一下有嫌疑就去那个文件里排查，有时间的一个文件一个文件看

xinchen · 发表于 2020-3-12 14:57:44

guling 发表于 2020-3-12 11:58
D盾扫一下有嫌疑就去那个文件里排查，有时间的一个文件一个文件看

不是什么d盾都可以扫到的

账号		自动登录	找回密码
密码			立即注册

[教程] 如果网站被黑了，我们应该怎么查找后门

马上登陆，加入晨风

浏览过的版块