2022-09-11

面对服务器上，网站程序所在文件夹中被人恶意新增了木马文件，并且通过网站url地址，可在线访问该木马程序，执行蓄意的自定义代码，实施恶意操作。对于这样的情况应该很多人曾经也遇到过，在这里记录一下一些做法。

1、如何快速发现站点中的非法木马文件。对自己网站站点文件夹中的所有程序文件及资源文件，制作一份站点文件明细清单。

该清单包括任何文件(程序文件、图片文件、css文件、js文件、配置文件等)，以及每个文件对应的文件md5码(可通过文件流方式读取文件数据进行md5加密即可)，生成站点文件清单保存到本地电脑或其他安全的地方，方便后面随时核对网站中是否有不正常的文件存在。

2、控制网站的任何url访问地址，只授权允许合法的url地址可用，其他的全部404状态处理。

针对网站需要正则匹配型的url地址，制作一个网站授权url正则表达式匹配清单。正则型的url地址千万不能太广泛了，尽量明确化地址信息匹配，比如：可以批量拟订出url中的目录信息的，尽量使用明确的目录信息制作访问清单。目录名落地明确化、文件访问名明确化。

针对网站非正则匹配的直接型url地址，制作另一个网站授权url访问地址清单。

3、对网站站点文件夹的系统账号权限最小化原则，只提供互联网信息服务账号的读取权限，如：window server 2012，iis8，站点文件夹可系统内部保留一个administrators；可外加使用IUSER、IIS_IUERS，只给予读取权限。带有写入、修改需要的文件和文件夹请独立到本站点外的其他地方处理。

4、做好网站最新版本的备份工作以防突发事件。有计划有规律的安排校验网站站点所有文件是否存在异常。有计划有安排的分析发现网站运行日志中的非法url访问信息。