站长建站,势必都经历过网站被黑或者挂马。要么是自己网站被黑挂马,或者是看到别人网站被黑挂马。今天,古哥就给大家带来几种判断网站是否被黑或者挂马的工具或者方法。
这里,就不具体以WordPress为例了,毕竟在黑客面前,程序都没有绝对安全的。当然,总是要强调那么几遍,请及时把你的WordPress更新到最新版,以解决安全问题。
一般被黑或者挂马分为两种情况,当然这是我自己的理解。我所说的被黑是指,网站数据库遭到篡改,网站前端文件被恶意植入不明来历的js片段。当然,挂马就是服务器后台被植入恶意程序,比如一些挖矿程序等。实际情况,被黑或者挂马包括的情况还有很多,这里就不一一列举了。
下面就详细的分别说下被黑和挂马的判断方法吧
网站被黑
- 数据库被黑,这个一般会在数据库里新增管理员帐号。
- 如果已经发现新增了管理员帐号,对方还没有做删除文章等操作,请及时删掉对方管理员帐号,然后修改服务器及网站等帐号密码。
- 还有种数据库被黑,是把你的网站链接改掉了。
- 这种当用户访问网站的时候,会直接跳转到对方网站;就算你改回来,过段时间又会被黑的。
- 网站前端被黑,这种是给你的html代码中,插入恶意js。
- 这个js还不会每次都生效,所以你很难发现自己网站是否有被黑。
- 网站搜索引擎被黑,这种是百度等爬虫爬到的页面被黑。
- 也就是访客从搜索引擎进你的网站,会被跳转到不明来历的网址。当然,不一定每次都生效。
这里,针对前端被黑或者搜索引擎被黑,给出一个检测工具:来自Chinaz家的网站被黑检测工具
https://stool.chinaz.com/tools/webcheck.aspx
以上这几种情况,都是比较常见的,解决办法也有:
请你至少每周备份你的网站文件及数据库一次,当发现被黑时,及时恢复备份文件,还能挽回一点点损失。
如果你没有备份,那能不能恢复真的不好说。因为有些人会把你的数据库全部清理,你只能付费才可以解决。
网站挂马
这种,一般情况是指服务器层面的情况。比如服务器被挂上了挖矿的程序,我们可以通过检查服务器上的用户及正在运行的程序,来判断是否被挂马。
以下终端命令,列出所有用户
cat /etc/passwd |cut -f 1 -d :以下命令,列出所有用户相关信息
cat /etc/passwd我最喜欢用的命令,自然是top直接查看进程的命令:
top其输出结果大致如下:
Tasks: 107 total, 1 running, 106 sleeping, 0 stopped, 0 zombie
%Cpu(s): 6.1 us, 5.4 sy, 0.0 ni, 87.5 id, 0.0 wa, 0.7 hi, 0.3 si, 0.0 st
MiB Mem : 1731.2 total, 367.9 free, 685.1 used, 678.2 buff/cache
MiB Swap: 4096.0 total, 3782.6 free, 313.4 used. 867.7 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3474504 root 10 -10 181940 59468 8684 S 3.4 3.4 28:59.12 AliYunDunMonito
1195 root 20 0 484584 5724 1728 S 0.7 0.3 50:13.54 tuned
487 root 20 0 0 0 0 S 0.3 0.0 1:21.26 xfsaild/vda1
3474494 root 10 -10 103340 7688 5188 S 0.3 0.4 8:06.48 AliYunDun
3522713 root 20 0 148388 6516 4868 S 0.3 0.4 0:00.56 sshd
1 root 20 0 91000 5232 3436 S 0.0 0.3 0:19.20 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.19 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
9 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
10 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_rude_
11 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_trace
12 root 20 0 0 0 0 S 0.0 0.0 0:44.39 ksoftirqd/0
13 root 20 0 0 0 0 I 0.0 0.0 1:16.88 rcu_sched 可以通过shift+<或者shift+<来切换(请切换到英文输入法)排序依据,下面给出不同排序情况的结果
PID排序
top - 12:24:39 up 20 days, 16:24, 2 users, load average: 0.10, 0.23, 0.12
Tasks: 105 total, 2 running, 103 sleeping, 0 stopped, 0 zombie
%Cpu(s): 6.0 us, 5.0 sy, 0.0 ni, 88.3 id, 0.0 wa, 0.7 hi, 0.0 si, 0.0 st
MiB Mem : 1731.2 total, 297.9 free, 754.1 used, 679.1 buff/cache
MiB Swap: 4096.0 total, 3782.6 free, 313.4 used. 798.6 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
1 root 20 0 91000 5232 3436 S 0.0 0.3 0:19.20 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.19 kthreadd
10 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_rude_
11 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_trace
12 root 20 0 0 0 0 S 0.0 0.0 0:44.44 ksoftirqd/0
14 root rt 0 0 0 0 S 0.0 0.0 0:00.00 migration/0
15 root rt 0 0 0 0 S 0.0 0.0 0:00.00 watchdog/0
16 root 20 0 0 0 0 S 0.0 0.0 0:00.00 cpuhp/0
18 root 20 0 0 0 0 S 0.0 0.0 0:00.00 kdevtmpfs
20 root 20 0 0 0 0 S 0.0 0.0 0:02.18 kauditd
21 root 20 0 0 0 0 S 0.0 0.0 0:00.77 khungtaskd
22 root 20 0 0 0 0 S 0.0 0.0 0:00.00 oom_reaper
24 root 20 0 0 0 0 S 0.0 0.0 0:00.13 kcompactd0
25 root 25 5 0 0 0 S 0.0 0.0 0:00.00 ksmd
26 root 39 19 0 0 0 S 0.0 0.0 0:37.92 khugepaged CPU占用排序
top - 12:25:09 up 20 days, 16:25, 2 users, load average: 0.49, 0.30, 0.15
Tasks: 105 total, 2 running, 103 sleeping, 0 stopped, 0 zombie
%Cpu(s): 4.0 us, 3.4 sy, 0.0 ni, 91.9 id, 0.0 wa, 0.7 hi, 0.0 si, 0.0 st
MiB Mem : 1731.2 total, 297.5 free, 753.8 used, 679.8 buff/cache
MiB Swap: 4096.0 total, 3783.1 free, 312.9 used. 798.9 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3474504 root 10 -10 182244 60236 8684 R 3.0 3.4 29:06.95 AliYunDunMonito
3474494 root 10 -10 103340 7688 5188 S 0.7 0.4 8:07.15 AliYunDun
1195 root 20 0 484584 5780 1728 S 0.3 0.3 50:15.30 tuned
1375 root 20 0 813020 4496 1620 S 0.3 0.3 12:46.54 aliyun-service
3474383 root 10 -10 43716 1888 1760 S 0.3 0.1 1:15.02 AliYunDunUpdate
3522713 root 20 0 148388 6516 4868 S 0.3 0.4 0:01.27 sshd
1 root 20 0 91000 5232 3436 S 0.0 0.3 0:19.20 systemd
2 root 20 0 0 0 0 S 0.0 0.0 0:00.19 kthreadd
3 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_gp
4 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 rcu_par_gp
6 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 kworker/0:0H-events_highpri
9 root 0 -20 0 0 0 I 0.0 0.0 0:00.00 mm_percpu_wq
10 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_rude_
11 root 20 0 0 0 0 S 0.0 0.0 0:00.00 rcu_tasks_trace
12 root 20 0 0 0 0 S 0.0 0.0 0:44.44 ksoftirqd/0 内存占用排序
top - 12:25:42 up 20 days, 16:25, 2 users, load average: 0.35, 0.29, 0.15
Tasks: 106 total, 2 running, 104 sleeping, 0 stopped, 0 zombie
%Cpu(s): 14.7 us, 7.0 sy, 0.0 ni, 77.3 id, 0.0 wa, 0.7 hi, 0.3 si, 0.0 st
MiB Mem : 1731.2 total, 286.9 free, 764.4 used, 679.9 buff/cache
MiB Swap: 4096.0 total, 3783.1 free, 312.9 used. 788.3 avail Mem
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3517380 apache 20 0 1897300 344456 45504 S 0.0 19.4 0:09.62 httpd
3524134 apache 20 0 1739436 218824 46488 S 9.0 12.3 0:03.12 httpd
3474504 root 10 -10 182928 60680 8684 S 3.7 3.4 29:08.16 AliYunDunMonito
1705 mysql 20 0 1555228 53148 6068 S 0.3 3.0 6:31.15 mariadbd
1738 memcach+ 20 0 606424 42300 360 S 0.3 2.4 14:37.11 memcached
933 root 20 0 618164 34420 20588 S 0.0 1.9 0:40.17 httpd
594 root 20 0 153896 13352 12892 S 0.0 0.8 0:08.94 systemd-journal
783 root 20 0 713696 11096 3136 S 0.0 0.6 30:12.10 exe
3522700 root 20 0 148064 10212 8904 S 0.0 0.6 0:00.16 sshd
3522703 root 20 0 89308 9284 8084 S 0.0 0.5 0:00.02 systemd
3474494 root 10 -10 103340 7688 5188 S 0.0 0.4 8:07.26 AliYunDun
3522713 root 20 0 148388 6516 4868 S 0.3 0.4 0:01.38 sshd
1195 root 20 0 484584 5780 1728 S 1.0 0.3 50:15.56 tuned
3522742 root 20 0 21960 5524 3608 S 0.0 0.3 0:00.01 bash
3522714 root 20 0 19548 5300 3396 S 0.0 0.3 0:00.01 bash 
剩下的时间排序和命令名称排序就不做演示了,排序切换方式:shift+<或者shift+<来切换(请切换到英文输入法)
top命令退出方法:键盘摁下q即可
其实最直观的判断方法,就是CPU是否长期占用100%。如果你发现某个程序占用CPU过高,那么就可以对那个进程集中处理。比如,看看这个进程归属于哪个用户,进而判断:
- 是网站程序负载太高(网站被攻击)引起
- 还是数据库被疯狂查询导致
- 还是真的被挂了挖矿程序等
真实案例分享
陆续收集大家被黑过的经历
原创文章,作者:古哥,转载需经过作者授权同意,并附上原文链接:https://iymark.com/articles/3573.html
微信扫一扫 
支付宝扫一扫 
