当网站被黑客入侵后，管理员要迫切做哪些工作？当然是先尽可能快地找出入侵入口，找出哪个地方被利用了，进而加以防范。本文记录了某论坛被入侵后，管理员是如何快速找到黑客入侵入口并修补漏洞的，他的处理经验值得大家学习。

　　早上起来，像往常一样打开论坛，发现进不去，赶紧上 *** 准备联系服务器管理员，却发现服务器管理员已经给我留言：

　　发现论坛被入侵

　　论坛被入侵后，首要任务是找出病毒文件。

　　查找病毒文件（点击图片放大）

　　看这张查出木马的截图，原来是 php 木马。

　　如果不用软件查找，也可以自己观察网站各文件的修改时间，判断是否病毒文件或被病毒感染文件。

　　那这些文件又是如何上传到服务器的呢？

　　这个时候才知道网站日志的重要性，所以网站日志千万不要关闭，且至少要保留2周的日志记录。

　　由于网站首页被篡改，所以通过首页文件（index.html）的最后修改时间，去分析网站日志。

　　首页修改时间

　　根据文件修改时间（日志内使用的是UTC时间，日志里的时间要减8小时），在日志内找到的相关操作：

　　显然，这个人222.136.235.23在站点内利用上传功能上传进了一个aspx木马篡改了首页文件。

　　不得不看看 /demo/upload/ 这个目录，果然，在这个目录内发现了个可疑文件。

　　可疑文件

　　在日志文件里不断查找这个IP 222.136.235.23 的访问记录，发现他之前一直在 /demo/form/fileupload.aspx 这个页面上传文件。

　　从 338行 post了一个数据之后，就成功将他aspx木马传入了你的upload目录内：

　　立即测试了一下 /demo/form/fileupload.aspx 这个页面，上传php，aspx文件都可以，而且传了后，文件路径就在下方输出的图片路径内可以获取。

　　成功上传php文件

　　至此，入侵入口得以确定。

　　为了防止有人继续用这个漏洞传入木马或者篡改数据，把该文件名重命名。

　　再修改上传代码，对上传文件类型加以判断。

　　修复了漏洞之后，不能以为就此完事，因为入侵者很可能对服务器或网站做了其他一些操作，比较常见的添加一个管理员帐号。

　　此时，服务器管理员必须检查一次系统用户，把异常帐号删除，并把所有用户重新命名和更改密码。

　　此外，网站后台管理员帐号也要检查一遍，把异常帐号删除，并把所有管理员帐号重新命名和更改密码。

　　通过本文的分享，让大家知道一旦网站出现入侵，该如何去开展工作，而不是一筹莫展。

　　一般来说，入侵入口多是涉及用户输入和用户上传的地方，所以代码的安全性相当重要。

　　最后，我不得不说一下，该论坛的安全设置是有一点问题的，管理员犯了多数人都犯的错误，那就是允许了上传目录执行脚本。服务器安全设置中，必须禁止上传目录执行脚本。

　　发现者: Sowhat of Nevis Labs日期: 2008.05.06 CVE: N/A 厂商Yahoo! CN 受影响版本:Yahoo! Assistant