我拖着疲惫的身躯,努力打开眼皮在写...... 昨晚弄到12点,我感觉应该弄好了。
故事开头是这样的:我呢朋友有个网站需要开发,我当时没时间就包给外面的公司了,由于外面公司维护费用比较贵。
那么网站维护就交给我了,我呢做软件开发很多年了,没用过PHP,所以算是新手。
年前开始的某一天网站首页突然就被修改了,点链接都停在首页,且偶尔会打开菲律宾的博彩网站。
这下我开始紧张了,这网站访问量还比较大,不能出乱子啊。
那么我赶快请外包公司的帮我看看,可能是开发阶段结束了,没有给维护费用。
基本上对我是爱理不理,我说要电话给他,他就说在开会,当然你说在开会我就不好意思打搅了。
我其实也不是想他们帮我解决问题,也就是想更多的了解一些网站的结构信息和服务器信息,好做出一些哪里有问题的判断。
服务器是外包公司代理管理的,那么我有的就是远程FTP上去改网站的权限。
那么我在想着首页怎么能被别人改了?难道黑客有我FTP的密码?
于是把首页改回来,改了一次密码。好了一天后面还是又有问题了。
会不会是我ftp保存了密码 出问题了?后来又改了一次密码,每次连接不保存密码。
还是一样,首页改好一天之后,貌似又出现问题。
奇怪了,由于我用的开源的FTP--FileZilla,我在想,不会是这个开源工具里面有植入病毒或木马吧。
果断换了个ftp工具,改了个ftp密码,修改回正确主页,过了一天还是有问题。
我要奔溃了~~ (作为程序员,第一次感觉这么的无助,因为它不是你所熟悉的语言和开发,运行环境)
排除了ftp工具的问题之后,我开始怀疑是不是别的问题了,在网页里搜了一下“php index.php被修改”
搜出来一堆关于phpCMS框架的问题,然后一股脑发了7,8个关于问题解决的链接给外包公司。
可能这些链接提醒了他们,他们发现可能是他们使用的开源框架有漏洞,于是乎给框架打上了补丁。
打上补丁,以为万事大吉了,确实好了一个星期(这一个星期刚好我也没对网站做任何操作和修改)
太好了,补丁打上,好了。(我看补丁上说漏洞补丁刚好是12月9号左右出来的,刚好能对得上主页被修改的日期)
可惜幸福来得突然也去得快,我按客户需求又开始修改网站了。
改完,上传,测试工作之后,第二天一看。我滴乖乖,主页又被替换了,我要奔溃了。
为什么打算了补丁还有虫啊?
没办法了,只好到处找资料,看代码,分析TP5.0的框架,工作原理,就想找到点蛛丝马迹。
群里问了下高手,得到了两个关键词“路由”,“查看日志”。
高手们的帮忙,我真的很是感激。
“这个还要我教啊”--这句话 对我触动也是很大。我们作为前辈(有些领域我还是很资深的^_^)是不是考虑下新手的情况和心情。
我们刚入门确实不知道该如何下手,当然对于前辈来说,这些都是不值一提的理所当然。
(你可能头脑里又在想,查看日志应该是下意识行为啊,嗯,我主要是桌面应用比较多,一下子确实忘了考虑网站的log了)
“路由,路由”,然后网上搜tp5.0,路由设置,参考bug的补丁,发现建议强制路由。
那么设置了一下强制路由,然而网站不工作了......(当然应该是外包的没有按统一方法写代码)
那没办法,不能使用强制路由。
那查看日志吧,“日志,日志”,在哪里看哪一个呢。我在网站根目录上一通寻找。
眼睛突然一亮“wwwlogs”,嘿嘿,莫名的兴奋起来,这底下说不定有好东西。
问了下外包公司的,说“这底下log没什么用”。
我实在是也没别的办法了,先看看再说吧......
日志一查,好家伙,发现问题了,下面这明显是不正常行为。应该是一个“后门”。
浏览到那个目录,查看了一下内容,果然index.php和.htaccess是个后门,果断删除。
仔细查了一遍,还有用临时文件做后门的,果断删除。
根据日志,还发现了其他后门,然后仔细回想一下,都符合上了服务器网页被修改的时间和行为。应该这次搞定了吧......
这次抓虫花了我很多时间,也承受了来自客户的巨大压力。
特别是对某个东西不太理解作为新手那种的彷徨无助的感觉。
一些感悟如下:
1.商业的尽量少用开源代码
2.要用开源代码,实时关注更新,注意打补丁
3.深入了解开源框架的原理,好定位问题
4.软件前辈们应该多以谦虚的态度,帮助后辈们,有时候有些对于你是常理性的东西,他们真的很无助。多一些信息,能省他们很多时间。
5.日志,日志,日志!对于抓虫很重要!
觉得是很好的经历,所以写下来,作为以后的回忆,也希望抓虫的过程,能给大家一些启发~~