网站中木马了

网站中木马了！！！！

一、发现问题

这几天都在忙活这件事，用的是阿里云的服务器，还真的是要各种夸一下服务，出了问题：各种短信提示，邮箱提示，以及提供相应的解决办法。（虽然这些办法并没用......哭)

阿里说，服务器不断向某个IP发送SYN报文

阿里说，我的服务器不断向某个IP发送SYN报文！！然后我的知识盲点就出现了：对Linux的不熟悉和对相关端口数据监听不懂！

两眼一抓瞎啊，Linux不熟还不是致命的，至少有相关基础，很快就能上手，这里的要求也不高。

致命的是那个什么SYN报文的事！

二、尝试解决问题

阿里云提供的方案是去“可以尝试通过安全狗、护卫神、http://webscan.360.cn/ 等进行扫描“，除了360的安全扫描是简单好用之外，另两个打开页面后看了一眼就关掉了。（论UI设计的重要性）

我还用过安全宝，不过它要求DNS要改为NSPOD才能用，这个来不及，也没必要，弃之。

经过扫描，也没发现病毒。

后来又用了http://safe.webscan.360.cn/ 去上传数据包查木马和后门，果然发现了问题。在某个生成的临时文件夹里面的文件发现了疑似后门的代码。检查结果如图所示

安全检查结果

在这里要大赞一下360的这个页面的设计和操作体验，就一个字：简单直接好用！

唯一吐槽一下：你给出上图这样的结果，让我一行代码一行代码的去找可真是苦了我了。不能直接把相关特征代码标识出来？ - - 。

三、继续解决问题

关于木马特征的代码，我查了一遍又一遍，就是没找到！！！html页面里的木马基本上就是<script 调用，<iframe 嵌套，<div display为0 这么几种 ，检查又检查还是没结果。

灵光一闪，把上述页面的代码分成若干段的小页面去检查，哪个页面有没有问题就很快清楚了。

果然，在其中一小段里面发现了问题，我仔细检查了一下，就下面这样一段疑似有问题。把这个删除后，果然就清爽了。如下图所示：

疑似木马的代码

这算是哪门子木马特征？我完全不懂了。前面那个页面也是一个死链，图片也不存在。最大的可能是这个网址被举报过，而被360标记了。有人懂么？

看来这个还不是网站不断非法发送SYN报文的关键原因之所在！！

四、解决问题的主次

现在的关键还不是找到木马，而是先让网站能正常访问才行，不能耽误太久。这要是企业里的项目可不得了。

只好把整个文件做了个备份，然后按阿里云TS的说法把整个虚拟硬盘初始化了，重新配置了环境。

目前网站已经上线了一个。下一步就是要找到被挂马的原因。

另外一个疑似被挂马的站点，就先暂时搁浅，不上了。

还有一件非常重要的工作就是修改密码，相关的密码都要修改。

另外，如果有类似经历的童鞋，欢迎交流。