PHP 宝塔网站被入侵应对之策(图文)

PHP 宝塔网站被入侵后会出现多种异常情况。首先，网页标题、描述和关键词可能被恶意修改，这不仅影响网站的外观和用户体验，还可能对网站的搜索引擎优化（SEO）产生负面影响。例如，有客户的网站被入侵后，标题描述以及关键词都被加密显示，从百度搜索关键词点击直接被跳转到其他网站。
页面被插入恶意代码也是常见现象之一。攻击者可能会利用代码漏洞在网站首页插入恶意黑链，通常这些黑链在正常打开网站时无法看见，只有查看源代码才能发现，它们往往被添加在首页底部或图片中间位置，并且字体被缩小。其目的是利用网站在百度的权重获取流量。
此外，网站还可能被植入后门，如在 DedeCMS 源码目录中发现很多 PHP 后门。攻击者上传木马文件后，可以进一步控制服务器，进行更多恶意操作。
有时候，网站会自动跳转到一些博彩等违规网站上，首页文件时常被篡改，内容描述被改成博彩内容，甚至还会在页面插入游戏。严重的情况下，网站会被百度安全中心拦截，导致用户体验度极差，造成客户流失。同时，有些攻击还会篡改用户账号密码等数据信息，给平台系统和用户造成经济损失。
总之，PHP 宝塔网站被入侵后会出现多种严重影响网站正常运行和用户安全的现象，需要及时采取措施进行处理。

二、寻找入侵原因

（一）信息收集与分析

与客户简单沟通后，得知如下基本信息：官网服务器为租赁的阿里云虚拟专用服务器，虚拟专用服务器上部署的官网后台使用了 DedeCMS 织梦系统，并且安装了宝塔面板服务器运维系统。然而，服务器上的宝塔面板密码已被篡改。
服务器开放了 SSH、宝塔、DedeCMS 等三个服务。对于玩过宝塔的人来说都知道，在宝塔后台路径未知的情况下，通过后台 GetShell 基本上是不可能的。再加上客户设置的 BT 面板用户名较为复杂，所以推断攻击者从宝塔下手的可能性很小。客户官网使用的 DedeCMS 版本为 v5.7 sp2，尝试所有公开漏洞均未成功，并且 DedeCMS 的后台密码没有规律，所以从 DedeCMS 入侵的可能性也不是很大。

（二）弱口令怀疑

高度怀疑服务器是被爆破 SSH 弱口令后导致了后续的入侵行为。有调查显示，74% 的人承认他们每个月都会忘记至少一个密码，其中 33% 的人会因此有 5 分钟访问不到工作上的某些资源，57% 的人是 5 - 30 分钟，剩余 10% 的人更高。在登录站点发生密码错误时，71% 的人多次尝试不同密码后成功登录。这说明很多人在设置密码时存在随意性，容易使用弱口令。比如常见的弱口令有简单数字组合如 “123456”“654321” 等，顺序字符组合如 “abcabc”“abc123” 等，临近字符组合如 “123qwe”“Qwerty” 等，特殊含义组合如 “admin”“password” 等。如果服务器使用了这些弱口令，就很容易被黑客利用密码字典自动 “蒙中”。客户给出了服务器的账号密码，虽然不能仅凭此确定是 SSH 弱口令导致的入侵，但结合上述分析，弱口令被爆破的可能性较大。一旦黑客通过 SSH 弱口令远程登录服务器，就可以修改宝塔后台密码后上传木马，进而通过代理机器继续上传其它木马文件，从而控制服务器进行各种恶意操作。

三、应急响应措施

（一）处理 BC 黑页与 PHP 后门

当发现网页 Meta 信息被篡改后，应立即采取以下措施。首先，使用网站安全扫描工具对网站进行全面扫描，以定位恶意代码的位置。通常，恶意代码可能隐藏在网页的头部、底部或者特定的模板文件中。一旦确定恶意代码的位置，仔细分析恶意 js 文件的作用。通过查看代码逻辑，可以了解攻击者的意图，例如是否窃取用户信息、进行恶意跳转等。如果可能的话，可以将恶意代码与正常的网页代码进行对比，找出差异点，以便更准确地判断恶意代码的影响范围。
对于被篡改的网页，可以先将其备份，然后尝试手动删除恶意代码。在删除代码时，要确保不会影响到正常的网页功能。如果不确定如何删除恶意代码，可以请教专业的网站安全人员或者参考相关的安全论坛和文档。同时，检查网站的数据库是否也受到了影响，防止攻击者通过数据库进行进一步的攻击。

（二）应对宝塔沦陷

如果宝塔密码被修改，首先不要慌张。可以尝试通过服务器提供商的管理后台或者相关的安全工具来重置密码。重置密码后，立即登录宝塔面板，查看系统日志，查找是否有异常的登录记录或者操作记录。特别要注意是否有木马文件的上传记录，这些记录可能会提供攻击者的线索。
同时，对宝塔面板的安全设置进行全面检查和加强。例如，修改默认的端口号、设置复杂的用户名和密码、限制登录 IP 地址等。还可以开启宝塔面板的安全防护功能，如防火墙、WAF 等，以防止再次被攻击。如果发现有可疑的文件或者进程，可以使用宝塔面板提供的文件管理和进程管理功能进行删除或停止操作。

（三）处理门罗币挖矿木马

当在服务器进程排查中发现挖矿程序时，应迅速采取行动。首先，使用系统命令如 top、ps -aux 等查看挖矿程序的进程 ID。根据进程 ID，使用 ls -l /proc/[进程 ID]/exe 命令查看可执行程序的位置。通常，挖矿木马会隐藏在系统的某些目录中，如 /tmp、/var/tmp 等。
找到挖矿程序的文件位置后，可以尝试直接删除文件。但是，由于挖矿木马可能会有守护进程或者定时任务，单纯删除文件可能无法彻底清除。此时，需要检查系统的定时任务列表，如 /etc/crontab、/var/spool/cron/ 等目录，查找是否有与挖矿程序相关的定时任务。如果发现定时任务，立即删除。
同时，检查系统的启动项，看是否有挖矿程序的自启动项。可以使用工具如 chkconfig 或 systemctl 来查看和管理系统的服务启动项。如果发现可疑的启动项，禁用或删除它。此外，还可以使用杀毒软件对服务器进行全盘扫描，以确保没有其他隐藏的恶意程序。
根据相关数据显示，挖矿木马攻击事件呈爆发式增长，一旦发现服务器感染挖矿木马，应尽快采取措施进行清除，以免造成更大的损失。

四、修复与预防方法

（一）一般服务器挂马修复
普通服务器被挂马后不用过于紧张，可按以下步骤进行修复。首先，停掉 web 服务，避免旧问题未解决又添新麻烦。接着，找到被挂马的漏洞，服务器被挂马主要有 sql 注入或系统性漏洞两种原因。sql 注入与代码有关，不好查，但只要 Nginx/PHP 不是以 root 身份运行，最多被拖库，被挂马可能性不大。系统性漏洞破坏性大，但一般比较著名，可通过搜索找到解决方案。比如，若找到被挂马的原因是 nginx 文件类型错误解析漏洞，这个漏洞在 php 网站只要支持图片上传就可能中招。修补漏洞时，在 nginx configure 文件里面进行配置即可。然后，搜查木马文件，到代码安装目录执行命令find./ -iname “*.php” | xargs grep -H -n “eval(base64_decode”，搜出的结果列表很重要，木马都在里面，要一个一个文件打开验证，若是木马则马上删除。最后，清理现场，去掉首页上的黑链，重启 web 服务。

（二）关键服务器处理

关键服务器（比如部署了用户资金 / 转账 / 交易等服务）被挂马之后，必须要格式化重装。因为 webshell 的功能非常齐全，攻击者很可能替换掉系统关键程序，比如 sshd、nginx 等，从此大门打开，随便进出服务器。

（三）安全经验总结

服务器安装系统要分区，至少应该分系统区和数据区两部分，这样重装系统的时候可以不用迁移数据。凡是提供外部端口的服务程序（web server，gate server)，一定要用独立的用户运行，千万不要图省事直接用 root。这样可以提高服务器的安全性，减少被攻击的风险。

（四）防止暴力破解

解决宝塔面板被暴力破解的方法有很多。可以修改面板端口和别名，点击保存。用的腾讯云，先进入云控制台，使用中的产品 -- 云服务器主机安全组 --ID / 名称修改宝塔面板端口和 ssh 端口，点击编辑，填写端口点击保存。已修改的端口在登陆的时候别忘记端口也改下。还可以采取以下措施：一、系统及网络安全方面，定期检查并修复系统漏洞，定期修改 SSH 密码或配置证书登陆，修改 SSH 端口，禁 Ping，安装悬镜、云锁、安全狗等安全软件（只安装一个），若长期不需要登陆 SSH，请在面板中将 SSH 服务关闭；二、购买企业运维版，开启安全隔离服务，宝塔企业运维版的安全隔离功能是专为拦截暴力破解而开发的功能，安全隔离服务好比在服务器外面建立一道围场，只允许授权 IP 进来。

（五）宝塔漏洞修复方案

针对 2020 年宝塔漏洞，可以采取以下修复方案。首先，对服务器的 888 端口进行关闭，不对外公开，在宝塔安全防火墙里删掉 888 端口。其次，检查 nginx 的网站访问日志，查看 phpmyadmin 的访问记录，看是否有恶意的 IP 访问该 URL 页面。要是有日志记录到的话，说明数据库被人访问过了，很有可能数据被修改，建议还原数据库到昨天。然后，对网站的后台管理员账号密码进行全部更改，防止黑客利用之前获取到的密码登录后台进行管理。同时，一定要对网站代码以及数据库按时进行备份，1 天 1 备，以防万一。对比之前网站的备份文件以及数据库文件，查找黑客的入侵痕迹，是否篡改了数据库里的数据，以及上传了 webshell 木马后门。若网站最近几天经常被篡改、劫持跳转 BC、以及快照劫持收录等网站被攻击的情况，建议找专业的网站安全公司进行安全防护，国内 SINESAFE、绿盟、深信服、鹰盾安全、山石网科都是比较不错的。另外，对后台地址的登录加 IP 白名单，防止被恶意登录。尽快升级宝塔的版本到 7.4.3 以上。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。