网站后门是网页木马（Webshell）的一种，是让站长深恶痛绝的玩意。一旦黑客植入后门到网站，黑客就能为所欲为了。要处理网站后门，可按以下方法操作。

方法一：恢复备份

如果你有干净的备份文件，这个问题处理起来就简单了（也最有效）：删除现有文件，恢复干净的备份文件。

注意务必全部删除现有的文件，再恢复干净的备份；不能使用覆盖模式，防止后门文件仍然残留。

该方法比较简单粗暴，虽然能最有效解决后门问题，但无法知晓后门文件在哪里。若需要找出后门文件，可以使用对比软件，对现有文件和备份文件进行比对，找出差异的文件，再人工审查，就能找出后门文件。

方法二：审计文件

如果没有备份文件，那就只有审计文件了。逐个文件审计，工作量太大；就算逐个审计，大部分管理员也没法识别其中的恶意代码。可按以下方法快速操作，减少审计工作量。

1、 重点检查配置文件，看看是否有异常代码

2、 按文件名排序，重点检查新增的文件

3、 按文件最后修改时间排序，重点检查入侵前24小时内修改过的文件

4、 重点检查/tmp、/uploads、/cache等目录（上传文件存放目录和临时目录）

方法三：查杀木马

人工审计是一件非常苦逼的事，不到万不得已，还是尽量不要使用。更简单的方法是使用网页木马专用杀毒软件，对网站文件进行扫描，找出Webshell。例如使用【护卫神-云查杀系统】，永久免费的网页木马专杀软件，可以快速发现网站后门。

方法四：审计日志

虽然网页木马专杀软件可以查杀后门，但是没有一家公司敢说具有100%的识别率。尤其是嵌入正常网页中的变种一句话木马，几乎没有识别的可能。如果网站文件多，逐个文件审计也不是个办法。此时可以采用另外一个办法：审计网站日志。

黑客要操作后门，必须先进入后门，再执行相关指令。这些操作一般都是采用POST请求，因此我们只需要检查所有的POST请求数据，就能发现蛛丝马迹。

小提示：访问网站一般是GET请求，登录一般是POST请求。只审计POST请求日志，可大幅减少审计工作量，提升审效率。

然而却有一个致命问题， WebServer默认不会记录POST数据，更有甚者不支持记录POST数据。幸运的是，可以使用【护卫神.防入侵系统】来解决，该系统的“请求数据快照”模块，支持记录GET和POST请求数据。如下图所示，只记录POST数据，并且请求数据在5 -102400字节范围内才记录，以减少无效日志。

（网站日志快照）

当黑客再次进入后门进行非法操作时，就会记录到快照日志，如下图。

（记录的POST请求日志）

我们只需要逐条审查，找到异常日志，就能找出后门文件了，如下图中的addfile.asp。

（发现异常日志）

都没找到怎么办？

如果通过以上操作，都没发现后门文件，那有可能黑客没有在网站植入的恶意代码，而是在服务器植入了恶意文件，例如跨站入侵、系统劫持等情况。这些情况处理起来比较复杂，建议找护卫神（www.hws.com）的安全工程师专业解决！

原文：https://www.hws.com/help/tech/1923.html