近日某个站长的discuz网站被快照劫持,在discuz后台查看最近修改文件,没有发现异常文件。
通过以往的案例分析,发现这次的网站挂马比较特殊。
后来在查看其网页源代码时发现,每个页面头部和底部都存在有异常代码。
上面截图就是异常代码,是一段VBS代码。
病毒劫持表现:
通过查阅资料发现,该svchost.exe病毒的危害主要表现为劫持硬盘中的所有html、php、txt等文件。
被劫持的文件都会被自动加上快照篡改代码,甚至无法彻底清除。
解决办法:
因为html和php文件都被劫持,只有重装才可以彻底解决问题。
我给的解决办法是:
1、将网站源文件及数据库备份
2、重装服务器系统:建议重新安装为linux系统,推荐使用centos6.x系列
数据备份好后,将服务器的各个磁盘都统一格式化。
3、按照discuz官方教程,重新安装discuz,并恢复数据
在重装discuz这里,我们只保留data 这个目录。
按照以上步骤操作后,问题基本解决。
svchost.exe病毒是windows系统下特有的,排查起来也比较麻烦,直接重装系统和网站是比较快捷的一个解决办法。
有条件的站长,可以考虑将服务器环境更换为linux,再配合使用wdcp或者宝塔控制面板,使用起来还是很方便的。
同时,各位站长一定要注意服务器安全,不明来源的程序、插件、模板一定不要随意安装。且一定要将服务器管理员密码设置的复杂一点,最好是可以定期更换。
更多服务器安全防护知识可以关注我的这篇文章:你的服务器还在裸奔?做好这6点,服务器才算安全了!