客户的网站于近日收到了来自腾讯云的安全告警，木马文件事件通知！第一时间客户联系到

我们SINE安全，把腾讯云提示的问题反馈给了我们安全技术部门，说是网站突然收到了腾讯云的

邮件提醒，说什么网站有木马，服务器也存后门文件。客户以前从没有对网站，以及服务器进行

安全部署与加固，导致今天发生这样的严重黑客入侵事件。
 

 

随即我们与客户进行网站服务器的对接工作，服务器的IP，以及SSH端口，root账号密码，包括网

站后台的账号密码都记录下来，下面把腾讯云提示有木马的这个问题的处理，以及解决过程书面的

写一下，希望能帮到遇到同样问题的朋友，帮助他人也是在帮助我们自己。

 

 

我们来看下木马文件事件通知的邮件：

 

尊敬的腾讯云用户，您好！
 

您的服务器 10.135.181.200(开发商账号:2672053389 instancd-id:ins-cvingm4i 地域:gz) 检测

到存在未处理的 D:/wwwroot/www.feifei-china.com/data/cache/asd.php 木马文件。您的服务

器疑似被黑客入侵，请即刻前往云镜控制台查看详细信息。

 

处理措施可参照：https://cloud.tencent.com/document/product/296/2223
 

建议开通云镜专业防护，降低被黑客入侵风险，获得专家在线支持服务。
 

专业防护详情可见 https://cloud.tencent.com/document/product/296/12236
 

开通专业防护 https://console.cloud.tencent.com/yunjing/index/upgrade
 

此致！ 

 

腾讯云安全团队

 

邮件图片如下:
 

 

从邮件中得知，客户的网站根目录下的data目录cache缓存文件下存在一个asd.php的木马文件

，疑似是被黑客攻击并入侵篡改了，我们立即登录客户的linux centos服务器，发现确认存在上

述的文件，打开该文件发现是一段加密的代码，base64位加密，通过我们对其解密发现该代码

是一段恶意的脚本木马，可以执行读写功能的脚本。根据我们多年的安全维护经验，网站首页

应该也被篡改了，果不其然我们在首页index.html文件里发现了问题，首页的标题，描述，都被

篡改成了赌博网站的内容。
 

紧接着我们查看客户网站在百度的收录情况，竟然发现客户的网站首页被改成了赌博的内容，

并且还被百度风险提示什么，百度网址安全中心提醒您：该页面可能已被非法篡改！如下图所

示：


 

还发现一个问题就是从百度搜索点击进去，网站会直接跳转到赌博网站上去。360提醒说是未

经证实的博彩赌博网站，您访问的网站含有未经证实的境外博彩或非法赌博的相关内容，可

能给您造成财产损失，请您谨慎访问。点忽略广告，继续，就会跳转到赌博网站上去了。

 

 

 

我们对客户的网站程序代码进行人工的安全检测，包括网站的漏洞检测，网站木马后门检测，

首页加密代码的安全检测，发现网站存在任意文件上传漏洞，在后台管理目录下有个tupianfile.php

可以绕过管理员登录，普通访问用户就可以直接POST数据过去，并上传任意文件到网站目录

下，导致网站被黑客上传了webshell，利用服务器的默认配置，直接服务器提权拿到root权限。

至此我们安全技术人员对该上传漏洞进行了修复与加固。对存在网站里的木马后门也进行了强

制删除，并做好网站安全部署，对图片目录，以及html页面的目录，images,css,data缓存文件

限制了PHP脚本文件的执行权限，部署网站防篡改方案，问题得以最终的解决。

 

 

接下来就是提交反馈给腾讯云，以及百度网址安全中心，说网站已经清除木马，以及跳转赌博

网站的代码也已彻底的清除，网站漏洞也修复了，请百度，以及腾讯云尽快解除对网站的红色

风险提示。