网站服务器被挂马的处理方案

 
本方案主要解决网站的 WEB服务器出现木马的情况后，操作指导手册。根据先期摸索处理的经验，整理此文档，若有不足，请指出补充。
 
前言：服务器木马的防范应以预防为主，加强软硬件防火墙管理。加强程序健壮性测试，及时检测，修复，操作系统，应用平台，WEB程序可能存在的漏洞和后门。由于面向互联网的WEB服务的特性，决定了WEB服务器具有开放性，无法从根本上拒绝来自互联网任意一台电脑上的非法请求，但也应做好预防，万一出现状况，也能快速的处理修复。
 
木马入侵期的探测。
在木马入侵期，非法来源的IP会频繁请求服务器，带来网络访问的异常。一方面可以从机房监控的CPU使用率和并发数以及网络流量等参数可以看出异常。
另外可以从WEB的服务器错误日志文件的大小可以看出来。在正常访问情况下，每天日志的大小波动不会很大，且和网站总体PV值曲线相吻合。在前段时间有外界探测或攻击的情况下。WEB的错误日志大小数倍于正常值，且错误日志的内容都是对同一网址的持续请求。就是不正常的访问状况。
 
感染木马的症状
服务器被置入木马的症状表现有。
1，用360浏览器打开有木马的网页，浏览器状态栏会变红，出现红色警示。
2，某些防病毒软件会报警提示。
3，使用谷歌浏览器访问网站会被禁止。
以上症状并一定会同时出现，搜索引擎，防病毒软件也会有误报的情况。但当有任何一种情况，应足以重视。加强排查。
 
木马的检测和清除手段
1，如出现有木马的页面警示，可以依照警示内容检查当前页面源码，发现木马所处的位置予以清除。
2，使用谷歌站长工具检查完整。按站长工具检索的结果进行处理。
3，使用360网站安全检测工具进行检测。360网站安全检测工具是360新推出的一项服务，推荐，访问地址是：http://webscan.360.cn
4，采用铱迅WEBSEHLL扫描工具进行服务器程序文件的扫描，检查可疑文件，高危文件是否有木马痕迹。http://sales.yxlink.com/download.html
5，人工排查。 被植入的木马一般都有一定规律性。任何自动化工具都不能取代人工的分析和处理。
 
木马检测应当注意的几个问题
1，            确定木马的类型和感染区域。木马有针对篡改HTML或JS的，有针对程序文件的，有针对数据库的木马。有些木马篡改文件后并不修改“修改时间”属性，有一定隐蔽性，不容易看出哪些文件被改过。
2，            要全面排查，不能过分依赖工具检测。工具检测和搜索引擎的原理差不多，不能保证遍历到所有的页面，一定要登录服务器，找出木马的关键字特征，如：链接网址，做全面的文件检索。
3，            服务器安全技术是涉及软件工程，脚本技术，数据库技术，硬件，网络等多领域的技术，一个人的知识还是有局限性的，出现问题，应当及时反馈上级领导，协调多方人员共同解决问题。