我拖着疲憊的身軀,努力打開眼皮在寫...... 昨晚弄到12點,我感覺應該弄好了。
故事開頭是這樣的:我呢朋友有個網站需要開發,我當時沒時間就包給外面的公司了,由於外面公司維護費用比較貴。
那么網站維護就交給我了,我呢做軟件開發很多年了,沒用過PHP,所以算是新手。
年前開始的某一天網站首頁突然就被修改了,點鏈接都停在首頁,且偶爾會打開菲律賓的博彩網站。
這下我開始緊張了,這網站訪問量還比較大,不能出亂子啊。
1.愛理不理
那么我趕快請外包公司的幫我看看,可能是開發階段結束了,沒有給維護費用。
基本上對我是愛理不理,我說要電話給他,他就說在開會,當然你說在開會我就不好意思打攪了。
我其實也不是想他們幫我解決問題,也就是想更多的了解一些網站的結構信息和服務器信息,好做出一些哪里有問題的判斷。
2.毫無頭緒
服務器是外包公司代理管理的,那么我有的就是遠程FTP上去改網站的權限。
那么我在想着首頁怎么能被別人改了?難道黑客有我FTP的密碼?
於是把首頁改回來,改了一次密碼。好了一天后面還是又有問題了。
會不會是我ftp保存了密碼 出問題了?后來又改了一次密碼,每次連接不保存密碼。
還是一樣,首頁改好一天之后,貌似又出現問題。
奇怪了,由於我用的開源的FTP--FileZilla,我在想,不會是這個開源工具里面有植入病毒或木馬吧。
果斷換了個ftp工具,改了個ftp密碼,修改回正確主頁,過了一天還是有問題。
我要奔潰了~~ (作為程序員,第一次感覺這么的無助,因為它不是你所熟悉的語言和開發,運行環境)
3.了解框架
排除了ftp工具的問題之后,我開始懷疑是不是別的問題了,在網頁里搜了一下“php index.php被修改”
搜出來一堆關於phpCMS框架的問題,然后一股腦發了7,8個關於問題解決的鏈接給外包公司。
可能這些鏈接提醒了他們,他們發現可能是他們使用的開源框架有漏洞,於是乎給框架打上了補丁。
4.打上補丁,還有蟲,為什么呢?
打上補丁,以為萬事大吉了,確實好了一個星期(這一個星期剛好我也沒對網站做任何操作和修改)
太好了,補丁打上,好了。(我看補丁上說漏洞補丁剛好是12月9號左右出來的,剛好能對得上主頁被修改的日期,參考網站https://bbs.ichunqiu.com/thread-48687-1-1.html)
可惜幸福來得突然也去得快,我按客戶需求又開始修改網站了。
改完,上傳,測試工作之后,第二天一看。我滴乖乖,主頁又被替換了,我要奔潰了。
為什么打算了補丁還有蟲啊?
5.咨詢高手
沒辦法了,只好到處找資料,看代碼,分析TP5.0的框架,工作原理,就想找到點蛛絲馬跡。
群里問了下高手,得到了兩個關鍵詞“路由”,“查看日志”。
高手們的幫忙,我真的很是感激。
“這個還要我教啊”--這句話 對我觸動也是很大。我們作為前輩(有些領域我還是很資深的^_^)是不是考慮下新手的情況和心情。
我們剛入門確實不知道該如何下手,當然對於前輩來說,這些都是不值一提的理所當然。
(你可能頭腦里又在想,查看日志應該是下意識行為啊,嗯,我主要是桌面應用比較多,一下子確實忘了考慮網站的log了)
https://www.kancloud.cn/yunzhiclub/thinkphp5guide/165007
6.靈光乍現
“路由,路由”,然后網上搜tp5.0,路由設置,參考bug的補丁,發現建議強制路由。
那么設置了一下強制路由,然而網站不工作了......(當然應該是外包的沒有按統一方法寫代碼)
那沒辦法,不能使用強制路由。
那查看日志吧,“日志,日志”,在哪里看哪一個呢。我在網站根目錄上一通尋找。
眼睛突然一亮“wwwlogs”,嘿嘿,莫名的興奮起來,這底下說不定有好東西。
問了下外包公司的,說“這底下log沒什么用”。
我實在是也沒別的辦法了,先看看再說吧......
7.應該搞定了
日志一查,好家伙,發現問題了,下面這明顯是不正常行為。應該是一個“后門”。
瀏覽到那個目錄,查看了一下內容,果然index.php和.htaccess是個后門,果斷刪除。
仔細查了一遍,還有用臨時文件做后門的,果斷刪除。
根據日志,還發現了其他后門,然后仔細回想一下,都符合上了服務器網頁被修改的時間和行為。應該這次搞定了吧......
8.一些思考
這次抓蟲花了我很多時間,也承受了來自客戶的巨大壓力。
特別是對某個東西不太理解作為新手那種的彷徨無助的感覺。
一些感悟如下:
- 商業的盡量少用開源代碼
- 要用開源代碼,實時關注更新,注意打補丁
- 深入了解開源框架的原理,好定位問題
- 軟件前輩們應該多以謙虛的態度,幫助后輩們,有時候有些對於你是常理性的東西,他們真的很無助。多一些信息,能省他們很多時間。
- 日志,日志,日志!對於抓蟲很重要!
覺得是很好的經歷,所以寫下來,作為以后的回憶,也希望抓蟲的過程,能給大家一些啟發~~