网站恶意代码清除技术参考手册.pdf

网站恶意代码清除技术参考手册 一、操作系统安全检查与恶意代码清除 对网站进行安全检查与恶意代码清除时，Windows 类系统和Linux 类系统的 主要步骤是一致的。不同的是 Windows 系统的安全检查工具较多，功能相对完 善，Linux 系统更多的要依赖系统自带的命令来检查。 1.1 对网站及系统重要文件进行备份 在进行检查与恶意代码清除前，对网站及系统重要文件进行备份，防止在清 除工程中出现意外导致重要文件丢失。 1.2 系统用户检查 查看操作系统用户，检查是否存在可疑账号，包括隐藏及克隆账号。删除系 统中不必要的账号，必要情况下更改管理员口令。口令建议使用8 位以上带有字 母、数字及特殊符号组成的口令。 1.3 系统进程及启动项检查 查看正在运行的进程信息及系统启动项，检查系统是否存在可疑进程或启动 项。 1.4 检查系统服务及加载模块信息 对启动的服务进行检查，禁用非法添加的系统服务及系统运行非必要的服 务。对服务进行必要的数字签名检查，查看相应的版本和说明信息。另外要确保 安全相关服务，例如杀毒软件相关、日志记录相关服务正常启动运行。 对系统加载的模块进行必要的签名检查，防止加载非法模块。 1.5 查看系统日志 查看系统相关日志，对系统登录、权限更改以及系统其他错误及报警日志进 行仔细查看和审核。 1.6 网络端口信息查询 检查服务器开放的端口及相应进程情况，确保每一个开放的端口都是必要且 经过授权的。 1.7 恶意代码扫描 使用恶意代码检查与清除工具，例如杀毒软件及其他工具对系统全部文件进 行扫描，清除恶意代码，例如病毒、木马及黑客工具等。 二、网站恶意代码检查与清除 对网站文件中黑客上传的网页木马、Webshell 等恶意程序进行检查和清除。 2.1 检查恶意代码 使用 Webshell 扫描工具扫描 Web 应用是否存在后门或木马程序。 使用恶意代码扫描工具对 Web 应用的代码进行扫描，检查 Web 应用程序 是否被植入恶意代码。 2.2 检查网站文件 检查网站配置文件及网站文件的修改时间和文件大小，发现被替换或篡改文 件立即进行清除，并使用确认未被修改的备份文件恢复。核对网站文件数量，清 除黑客增加的恶意文件。 2.3 网站日志分析 通过日志对 Web 事件进行分析，获取恶意代码植入系统存储载体（如 数据库、系统文件）的信息，排查存储在 Web 应用程序以外的恶意代码。 三、相关安全工具及软件 3.1 Windows 检测工具 分类 命令 工具 文件 说明 compmgmt.msc 系统自带 “计算机管理” 用户检查 LP_Check 用于检测克隆帐号的工具 process explorer 进程检查和管理工具 autoruns 启动项检查工具 进程及启动项 Process monitor 进程监视工具 winmsd 系统自带 “系统信息” 服务、模块及驱动 listdlls 模块检查工具 streams 文件流数据检查工具 sigverif 文件签名验证工具 日志与文件 eventvwr 系统自带 “事件查看器”