网站日志查网马技巧

用户访问网站时会留下浏览记录，这些信息被存储在网站日志中。定期查看日志有助于掌握用户行为、了解网站运行状况，并及时发现潜在安全风险，提升整体安全性与运营效率。

1、 网站被挂马后，应立即查看日志，优先分析挂马前一至两个月的日志记录。通过打开日志文件，排查异常请求和新增的可疑文件，定位安全隐患。

2、 进入网站根目录后，找到名为lion.php的文件，打开发现其中包含黑客植入的前端代码，此类文件存在安全风险，建议立即删除以防止后续威胁。

3、 顺着线索继续深入，逐步推进。在include/inc/目录中，可以找到名为fun.php的文件。

4、 打开fun.php文件后，可看到其中包含了logo.txt文档内容。

5、 打开文件后，可见黑客遗留的加密代码。

6、 发现加密代码后，需进行解密操作。访问Thinkng.com网站，将logo.txt文件后缀修改为.php，随后上传待解密的PHP文件即可完成处理。

7、 解密后可发现这是一款黑客工具，在阿帕奇环境中运行代码即可显露其真实用途，既然是恶意工具，我们应当立即将其删除以确保系统安全。

8、 顺着线索逐步深入，或许会有意外发现。进入FTP后检查时间异常的PHP文件，可在可疑目录中找到几个修改时间不同的可疑文件，值得关注。

9、 言归正传，话不多说。在一堆可疑文件里，我注意到一张名为LOGO1.png的图片，显得格外异常。

10、 用记事本打开图片，可见黑客隐藏的加密代码。

11、 通过第六步的方法解密文件后，发现其中包含一条SQL语句，并已插入dede_mytag数据表。我查看该表时大吃一惊，原来广告位已被植入木马程序，存在严重安全隐患。

12、 以下是 dede_mytag 数据表中完整的挂马代码，尽管我不完全理解其原理，但为了帮助同行少走弯路，我认为有必要将其公开分享出来，供大家参考和防范。