网站中毒排查的思路，谁才是“罪魁祸首”

在国庆期间相信很多站长面临着很大的压力，这段时间许多企业放假也就缺乏相应的人来管理，给别有用心的人可趁之机。服务器只要重了木马，上面的网站排名一般不会马上掉下来，通过JS跳转到BC站，能带来大量的IP。

不少人认为自己购买服务器是比较安全，起码不会同一个服务器上的一个网站中毒，其他的都遭殃。现在的虚拟主机就是某个服务器上的一个文件夹，真正需要防护的是服务器，必须具备一定的安全知识。

绝大多数的公司并没有运维人员，安排人做客服接待就很不错了。一般的查杀是针对某种CMS，排查范围只是网站的根目录，如果是服务器中毒了，再怎么防护也是无济于事。

如果发现自己的快照出现了异常，比如标题、描述变了，点击进去前台看起来没什么问题，查看源代码之后发现，TDK已经被转码。有些手法的设置让TDK只对搜索引擎生效，前台难以发现异常。

有些网友和吖七说用最新的织梦CMS还是遭殃了，这个锅难道又是DedeCMS来背？相信很多朋友发现2019年9月第到10月中，几乎每天都有系统更新提醒。如果是几台服务器遭殃还好，几十甚至上百台同时中毒的话，那运维人员就有得忙了。

目前服务器“裸奔”的还是很多，那服务器系统安装了“安全狗”就万事大吉了？绝大都数是“然并卵”，该来的还是来了。这里分享一些排查的思路，让更多的运维人员能够准确做出判断。

没有“绝对安全”CMS

很多人认为，一些静态网站连后台都没有，没有上传文件权限是不会中毒的，但只能说几率较小，没有任何一个系统是绝对安全的。绝大多数的网站是需要做内容管理CMS的，再成熟的CMS也有缺陷，特别是使用较多的织梦CMS就被认为是“漏洞百出”。

吖七用了这么多年的织梦，无论是虚拟主机还是ECS服务器，中毒风险还是较小，建议大家还是采用独立IP的虚拟主机或ECS，否则一旦某个网站被攻陷了，整个服务器遭殃，波及上面的其他网站。

CMS容易让人忽略的安全设置

许多人并没有做好安全设置，让人看源代码就猜得到用的什么管理系统，就会有采用有针对性的攻击手段已达到目的。关于织梦的安全设置问题参考文章《DedeCMS安全设置及网站安全汇总》

注意系统环境的问题

Linux服务器运行的WEB组件是Apache+mysql， 支持PHP和MYSQL为主，部分Linux能支持JSP。部署需要输入很多“奇怪”复杂的命令，不够直观，不建议初学者使用。

Windows服务器运行的WEB组件是IIS，数据库为SQL server为主，IIS版本由6-8不等。支持ASP、.Net、PHP等，所以windows的空间也号称全能空间。

最容易出问题也是Windows服务器，自带的组建一般由系统保证安全，而第三方的环境软件如APMserver、Phpstudy等，傻瓜式操作，让很多没有服务器操作经验的人也能轻易搭建环境。

由于一些软件作者能力有限，在安全性上并不够严谨。Phpstudy官网甚至遭到攻击，上面被挂了码，快照上还有提示风险。建议大家采用最新的系统环境搭建软件，不去第三方平台下载来历不明、被删减、破解等软件。

服务器反复中毒已经成为“肉鸡”

如果发现网站打开速度变慢，没有跳转也没有修改页面，CPU、内存占用率长期过高。就应该检查服务器进程，发现异常进程要仔细检查，终止该服务后又自动出现，那就有可能有自启动功能。

简单密码会被黑客通过RDP暴力破解，轻松进入服务器，释放病毒及后门Webshell

有时候可以看到一些IE的进程无缘无故出现，但并没有打开IE浏览器，CPU、内容占用率长期过高，也是屡禁不止，服务器很有可能已经成为“矿机”，帮别人挖BT币了。这时候基本不用查杀了，直接把上传的文件及数据库保存，做好硬盘镜像，格式化硬盘重新安装。

给大家的一些建议

平时注意做好自己的账户保护工作，不轻易透露给其他相关人员，如果需要相关人员处理服务器，处理完了也要尽快修改账号信息。对中毒后也不必慌张，处理完了尽快投诉原快照，尽快恢复，如果长时间不处理，浏览器会有“安全风险”“危险”等提示，严重的还会遭到GJ强制闭站的可能。

扩展阅读