现象:
早上一上班,接到通知说网站打不开了,运维妹纸说让我处理一下,一脸懵逼的我开始慢慢和她交流,然后理出她的问题。
具体问题是说网站ip被冻结了,这是妹纸提了工单,华为云安全工程师告知的结果,说是网站被黑挂了木马。
这位老师傅态度很好,点个赞。
现在知道问题和现象了,还是有点懵逼的我要来账号密码开始处理,但是登陆不了,冻结了嘛,只能通过华为云控制台进入操作。
so.解决步骤:
- 查看Nginx配置文件nginx.conf
- 找到网站虚拟机配置文件
- 把网站绑定的域名随便修改一个,相当于对应域名无法访问,让网站与对应的域名和ip断开,类似于手机中把wifi和数据关掉
- 然后让工程师给这个ip解冻,这是为了解决问题之后好直接访问网站,否则可能问题解决了还要等他解冻,不知道要多长时间
- 查看网站入口代码,发现了好几个111.php,1222.php ,11.php,跟妹纸大概确认了一下,说是应该是不是原来的文件
- 对比之前其它服务器的代码,因为结构类似,所以有参考性,最后确认这些文件不是该网站的,删除(记得删除之前备份,防止删错!!!)
- 对了,如果没法确认,那就先备份网站,然后把这种文件删掉
- 这些搞定之后,ip也解封了,但是还是访问不了网站,继续分析其它文件,发现入口文件也被修改了,被重定向到香港的一台服务器,再次和以前的代码对比,发现不是原来的代码,被篡改了
- 然后用ftp重新上传覆盖,上传之后,最后得以解决
- 这次是可以访问了,但是为了安全起见,将目录权限和文件权限改为只读,其它指定文件或文件夹改为可写。(这一步需要对根目录文件的作用很熟悉)
- 修改密码:服务器密码,后台密码,ftp密码等相关密码,要改复杂一点
暂时就到这里,看后续有没有要更新的
END