问题集锦 problem

如何判断网站是否被植入webshell后门?

2026-07-15 111 次

一、先简单搞懂Web‑Shell是什么

Web‑Shell就是黑客上传到网站目录里的后门文件(php、asp、aspx、js),访问该文件就能操控服务器:查看源码、下载数据库、上传勒索病毒、修改网页、执行系统命令。HTTPS、SSL证书查不出webshell。检查分成:肉眼查看文件、服务器日志、网站访问日志、进程排查、工具扫描、人工深度分析

方式1:人工检查文件(最基础)

1、重点查看文件特征

可疑文件常见特征:

  1. 文件名字杂乱无章,例如:sys202507.phpindex‑x6.phpa1b2c.php;放在upload、images、temp目录里;图片文件夹里面出现php文件几乎100%是后门。

  2. 文件打开后代码经过base64、gzip加密、eval、assert、preg_replace回调执行代码; 示例:

    eval(base64_decode('很长一串乱码'));

    只要出现eval、system、exec、shell_exec、passthru、proc_open这些函数大概率是后门。

  3. 文件修改时间异常:今天才创建,但是文件名看着很正规,或者半夜2‑4点新增PHP文件。

    2、重点目录(建站程序后门高发目录)

  • /upload/images/tempcache、data、install目录;

  • 网站根目录、admin目录;

  • 备份文件夹里面多出php文件。

    排查动作:

  1. 把全部PHP文件按修改时间排序,查看最近7‑15天新增文件;

  2. 图片文件夹里不允许存在php文件。

    方式2:查看Nginx/Apache访问日志(准确率很高)

    日志目录:

  • 宝塔:/www/wwwlogs/域名.log重点筛选下面访问行为:

  1. 半夜时段访问陌生php文件;

  2. GET或者POST请求里携带 system()、whoami、net user、ipconfig、dir等系统命令;

  3. 同一个IP高频访问一些不知名php文件;

  4. 访问参数包含 ?cmd=、?exec=。 出现以上行为代表后门已经存在或者黑客正在尝试上传后门。

    方式3:查看服务器进程(Linux和Windows服务器)

    Windows服务器(宝塔Windows版)

  5. 查看任务管理器: 出现php‑cgi.exe持续长时间运行,CPU占用偏高;即使网站没人访问PHP进程一直驻留。

  6. 查看cmd、powershell被php程序调用,说明webshell在执行系统指令,离勒索病毒就很近了。

    Linux服务器

    执行命令:

    ps aux | grep php

    发现PHP进程调用 /bin/bash,执行系统命令,确定后门存在。

    方式4:使用专业工具扫描(推荐日常定期扫描)

    1、在线扫描工具

  7. 宝塔自带Web‑Shell查杀;

  8. 河马webshell查杀、D盾(Windows服务器最强); D‑盾原理:特征匹配 + 代码语法分析,识别加密后门、变形后门。

    缺点:加过混淆免杀的高级webshell普通杀毒工具查不出来。

    2、Linux服务器工具:Linux‑Malware‑Scan、ClamAV杀毒软件。

    方式5:服务器系统日志排查

  9. Windows服务器事件查看器:查看陌生IP登录服务器;

  10. Linux查看/var/log/secure,查看SSH登录记录;

  11. FTP日志:查看陌生IP登录FTP上传文件;很多情况是你的电脑中木马,FTP账号被盗上传后门。

    二、高级后门(工具扫不到的类型,非常容易被忽略)

  12. 图片伪装后门:后缀是jpg,但是文件里面包含PHP代码;配合文件包含漏洞执行后门,D盾有时检测不到;

  13. 注入配置文件:把后门代码写到config.php数据库配置文件里面;

  14. 定时任务:黑客添加计划任务,每隔一段时间创建后门文件;就算你删掉文件,过几天后门再次出现;

  15. 内存级WebShell:后门只驻留在内存,磁盘里没有文件,重启服务器后门就消失,不重启永远存在;工具扫描完全发现不了。

    三、出现下面情况,几乎可以判定网站被入侵

  16. 网页莫名多出灰色外链、赌博链接、广告代码;

  17. 百度收录出现一堆无关垃圾页面;

  18. 网站文件经常莫名改动;

  19. 服务器磁盘占用无故升高;

  20. 数据库莫名被导出;

  21. 你的后台登录日志里出现陌生IP登录记录。

    四、发现webshell之后正确处理步骤(严格照顺序)

  22. 第一步:立刻关闭网站,禁止黑客继续操作;

  23. 将全部网站源码下载到本地电脑用D盾深度扫描;

  24. 不能只删除后门文件:黑客大概率拿到管理员账号,就算删掉后门,对方还会再次上传;

    • 修改宝塔面板密码、数据库密码、FTP密码;

    • 修改服务器3389/SSH密码;

  25. 检查系统计划任务,删除陌生定时任务;

  26. 升级PHP版本,修补代码漏洞;

  27. 对比备份源码,用干净备份覆盖现有程序;

  28. 排查你自己电脑是否中木马(你的电脑中毒,FTP密码被盗是高频原因)。

    五、日常预防webshell实用办法

  29. 禁止upload目录运行PHP程序(Nginx配置限制);

  30. 不要使用老旧版本建站程序;及时打补丁;

  31. 后台地址自定义,设置高强度密码;禁止弱密码;

  32. 本地电脑做好勒索病毒防护,避免FTP密码泄露;

  33. 定期备份源码和数据库,备份文件离线保存。

    精简总结

  34. 初级后门:看最近新增文件 + D盾查杀 + 查看访问日志即可查出来;

  35. 高级免杀后门:磁盘扫描工具失效,要查看进程、系统计划任务、内存状态;

  36. SSL证书(HTTPS)无法防止webshell;代码漏洞和弱口令才是根源。


关联标签:
webshell 网站
近期更新:
返回顶部

在线客服

📞
客服热线
0417-6190114
💬
QQ客服
401403
微信二维码
扫码添加客服微信