摘要：
身为一个站长，最揪心的就是网站被挂马了，而且你还死活找不到原因，除此之外，人家潜伏了好长时间你才发现！这不，朋友的一个站就这样被挂马了，昨晚被拉着折腾到凌晨2点，收获也是有的。除了经验外还收获一份全网免杀的木马脚本

一、起因

话说昨晚(2017年11月29号)10点的时候艺灵正在写代码，突然间好友@绍华在qq上发来急电，原来是他的网站被挂马了，于是，我们就是一番折腾。。。。。。

二、一路排查原因

鉴于今年6月份，自己网站也出过意外。绍华吸取经验后率先检查了网站的dns解析，发现一切正常。只有访问网站首页时被强制跳转到一个文件中，于是我们把目标锁定在了首页的文件上。

翻看首页的源码，果然，里面有js外链并且指定跳转到一个文件中，删除首页文件后进网站后台重新生成，网站首页恢复正常。

这个问题估计会让所有站长感觉到头大，确实如此。入侵的这个站没有开ftp帐号，只有阿里云的vps帐号，但帐号登录一切都正常。我们初步猜测是表单提交那里有问题或者是这个服务器上一个织梦的站有问题或者其他什么鬼的问题。毕竟绍华说前段时间另一个织梦的站有提示漏洞信息，而绍华只是关闭了网站并没有引起太大的注意。

不管怎么说，现在事实摆在眼前，入侵者已成功在服务器上上传过文件，还留有后门文件，现在首要任务就是删除这些文件尽可能通过软件来查找源头。

绍华在服务器上装的是安全狗软件，经查看日志发现有大量的拦截攻击。如图：有些提示拦截成功，而有些只是提示。我们猜测没有提示成功的八成是成功入侵了！

这么说也不完全没有道理，毕竟没有提示成功的路径中确实有入侵者留下的文件。我们顺着路径找到了一些加密过的php文件。原以为是昨晚入侵的，再向前查看日志发现日期可以追溯到11月15号，再向前查看8号的时候就已经有过成功的入侵的记录了。本来想继续向前查看的，由于绍华设置的日志记录只保留30天，所以只能看到11月当月的记录。

当时艺灵我推荐绍华下载个云锁对服务器进行检查，这个在阿里云上面安装云锁也是个小坑。我相信很多站长在阿里云服务器上安装云锁时要搞半个小时甚至更长的时间，这个坑，下回艺灵再写文章详述。

装好云锁后就开始扫描了，不一会儿就是300+个异常文件。当然了，我们在这个时候从安全狗的拦截日志中又有了新的发现。我们打开了一个php文件，看注释真是屌炸天了！当时我们激动死了，迅速下载了下来。如图：

由于当时时间太晚，已经凌晨2点了，我们只好先告一段落。

三、屌炸天木马，强势绕过大部分查杀软件

话说昨晚的新发现没有进一步验证，今天我们来继续更新。打开360后对这个文件进行了扫描，结果真如注释中那狂妄的话语一样，轻松绕过。放图一张：

紧接着我在网上对这个加密后的php文件进行了解密，下载后立马被拦截了。看来以后传木马还是要加密啊，（偷笑）。

差点忘记了，昨晚发现那个文件后，我还在云锁官方群中截图并艾特管理了，可能当时太晚，并没有回复我。今天再打开qq时看到管理的回复了，说这种小木马什么的是免杀的。于是我又把那个木马上传到了自己的服务器，然后打开云锁巡检了一下，本以为可以拦截的，结果，顺利通过。如图：这下真是尴尬了，有点小失望。当我再在云锁群里放图时，没人说话了，后来另一个管理半天才回复，说建议开通高级防护(付费功能)就可以拦截了，好吧。。。。。。

四、待更新

由于绍华这个服务器上文件上百万，扫了几个小时还没有扫完，那就先放放吧，我们来聊点预防的事情。

五、本次吸取的教训

还是在狗狗的拦截日志中，我们发现了攻击者访问了网站的php探针文件。探针都被访问了，这尼玛还说个毛啊！因为探针文件里面有大量的敏感信息，所以攻击者应该是先扫描到了探针文件，然后才实施了下一步的入侵计划。

下午我登录自己的阿里云，看了下之前的拦截记录，真是不看不知道，一看吓一跳。我的一个新站的已改名的数据库文件夹竟然被访问了，真是一点儿安全性都没有了。。。。。。当时吓的我立马把探针文件、phpinfo文件以及一些敏感文件下载后进行了删除。

服务器安全这玩意儿，一般人真是折腾不起。如果手机或邮箱上来有提示信息了，一定要及时查看，发现异常后立即处理。别搞的让人家潜伏几个月了自己才发现，那时就太晚了。。。。。。

说到这里我又想起了之前在窝窝宝的时候，那时候也是，服务器被上传文件了，我们不知道原因。还是seo人员在查排名时无意间点开的，里面是博彩页面，好尴尬啊！再看服务器上，什么叶良辰命名、乱七八糟的文件多的去了。那天我全部下载下来了，1个多G！这文件也潜伏了至少一个月，如果当时不是我们的seo人员发现，不知道还会潜伏多久。。。。。。

六、木马下载

为了方便看官学习和交流，艺灵提供文章中提到的木马源码文件，此木马文件禁止用来恶性传播，如若因此木马文件产生的一切违法行为，后果均由看官自行负责！此版本为php版本，下载需要50积分。下载：【[php木马]可绕过安全狗云盾等众多检测工具.zip】 积分：50

----------完----------

转载声明：
　　若亲想转载本文到其它平台，请务必保留本文出处！
本文链接：/xwzj/2017-11-30/564.html

若亲不想直保留地址，含蓄保留也行。艺灵不想再看到有人拿我的技术文章到他的地盘或者是其它平台做教(装)程(B)而不留下我的痕迹。文章你可以随便转载，随便修改，但请尊重艺灵的劳动成果！谢谢理解。