經(jīng)驗心得：網(wǎng)站被掛馬后驚魂1小時的經(jīng)歷

　　建站學(xué)院(LieHuo.Net)訊 前段時間接手了一個圖片網(wǎng)站，發(fā)現(xiàn)有很多地方值得改進，于是在程序上加入了很多功能，使用起來很方便。卻因此遭來了競爭對手的白眼，因為我們的網(wǎng)站是集外鏈和瀏覽一起，集免費和收集一體的相冊。

　　周二起床，按慣例打開網(wǎng)站，卻發(fā)現(xiàn)網(wǎng)站突然彈出一個窗口，同時殺毒軟件也跳了出來。我驚恐地發(fā)現(xiàn)了一個我不愿意接受的現(xiàn)實：網(wǎng)站掛了!呵呵。馬上叫來程序員，說網(wǎng)站被掛馬了，要立馬清除，考慮到會給瀏覽網(wǎng)站的用戶用戶帶來很多不便，于是一場無聲的戰(zhàn)斗馬上開始了。

　　我首先打開FTP，發(fā)現(xiàn)里面的文件并沒有被修改，一般來說被掛馬的多數(shù)是黑客入侵入修改程序文件，在里面置入代碼。但這次怪了，里面文件的修改時間都是以前的沒有改變過。這時候程序員反饋來消息，很有可能是SQL注入。于是我馬上打開SQL數(shù)據(jù)庫，發(fā)現(xiàn)里面，很多字段都被密密麻麻的。

代碼，這就是傳說中的SQL注入，呵呵，終于找到原因了，于是用SQL語句批量將這些代碼替換掉。

　　注意，下劃線部分為數(shù)據(jù)庫表名和字段名，請靈活替換。

　　雖然說被注入的比較多，但用批量刪除還是沒有費到多少時間。網(wǎng)站重新恢復(fù)了正常，但我卻輕松不起來，因為還找不到根本原因在哪里。難道有人知道我的后臺密碼?有人知道我的SQL密碼?還是有人上傳了帶木馬的程序?還是上傳了惡意代碼呢?

　　經(jīng)過一番仔細的排查，終于排除了前三種可能，最后發(fā)現(xiàn)我們網(wǎng)站的程序，很多發(fā)站內(nèi)信，BBS，還有修改相冊資料的地方都可以發(fā)這種腳本語句。真是粗心大意啊，這么低極的錯誤常識也犯了。于是叫程序員把所有這發(fā)文本文檔的地方(黑客可利用此上傳惡意代碼)都打上了補丁，堵住處了漏洞，引用很經(jīng)典的一句臺詞：安全第一。方法其實很簡單就是過濾掉這種腳本就可以了。抬頭望望窗外的車水馬龍，終于可以舒心地呼吸一口早晨的空氣。

　　感謝CCTV，感謝黑黑客，感謝看貼的你，沒有這次被掛的經(jīng)歷，也沒有我的成長。謝謝大家。

　　最后總結(jié)出幾條網(wǎng)站被黑后常用的步驟，希望能給大家?guī)韼椭?/p>

　　一、發(fā)現(xiàn)網(wǎng)站異常后，立馬關(guān)掉網(wǎng)站，這樣以免上瀏覽網(wǎng)站的用戶受到影響；

　　二、查看FTP里的文件的修改時間，看有沒有被更改過，有沒有注入惡意代碼。如果有，請刪除掉；

　　三、查看數(shù)據(jù)庫文件，看有沒有字段被注入惡意代碼，有的話則用SQL語句批量刪除；

　　四、刪除惡意代碼后，一定要檢查問題出在哪里，這一步很重要。是服務(wù)器有漏洞，還是程序有問題，找到問題后一定要打上補丁，以免再有類似的事故發(fā)生。如果自己不懂程序代碼，這里介紹一個高手程序員的QQ：850268891；

　　五、保持良好的心態(tài)，總結(jié)經(jīng)驗教訓(xùn)，再接再勵。(文章來自：www.126tu.com)

生活不易，碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機掃描二維碼進行捐贈