1
sabermiao 2018-08-17 17:08:03 +08:00
location.href?
XSS? |
2
doufenger OP @sabermiao 他加的跳转代码删了就行了,关键是我改了服务器密码 FTP 密码什么的 文件调成只读了 都没有作用,他还是会改回来。
|
3
Devilker 2018-08-17 17:16:39 +08:00
目测 数据库被加入代码了
只要一更新网站就会再次加上 |
4
helionzzz 2018-08-17 17:18:22 +08:00
先彻查服务器里的 php 文件 之后再改代码什么的
|
5
zarte 2018-08-17 17:34:52 +08:00
管理员权限被人拿了你调权限有啥用。。
|
6
keramist 2018-08-17 17:39:04 +08:00 via Android
需要运维 wx: antcars 可长期 可一次性
|
7
webjin1 2018-08-17 18:01:21 +08:00
前面套一个 WAF
|
8
zjp 2018-08-17 18:22:33 +08:00 via Android
root: 啥只读
按惯例不应该是重装系统吗 |
9
caola 2018-08-17 18:30:46 +08:00
自己的网站被黑还检查不出什么问题?。。。
|
10
zhenghao110 2018-08-17 19:04:45 +08:00 via Android
@zjp 😂
|
11
yongxa 2018-08-17 19:20:34 +08:00 via Android
cron ?
|
12
sorcerer 2018-08-17 19:26:27 +08:00 via Android
网站被放后门了吧
|
13
gamexg 2018-08-17 19:33:09 +08:00
心太大了吧?
被黑第一步排查原因,第二部重做系统。 加只读是什么操作? |
15
beastk 2018-08-17 20:18:57 +08:00 via iPhone
查日志看下怎么进来的,打补丁,做安全措施。
|
16
luboyan 2018-08-17 20:29:22 +08:00
我也遇到之前两个月,我遇到的是 PHP 的一个文件有后门。wordpress 下载第三方模版时候带来的
|
17
ccc008 2018-08-17 20:32:05 +08:00
我们公司也遇到过。清理所有 php 后门后还有。后来排查发现远程密码泄露了。233
|
18
haimall 2018-08-17 20:32:49 +08:00 via Android
先学习什么是后门,现在一般留 2-3 个后门的。 仔细检查下吧
|
19
godgrp 2018-08-17 20:41:32 +08:00 via Android
有可能 dns 劫持,上 https
|
20
mdos 2018-08-17 20:47:20 +08:00
文件先备份,然后重装服务器,密码都改掉,然后排查文件。等文件确认无后门后在传回服务器。
|
21
yanaraika 2018-08-17 20:51:38 +08:00
一定要备份已有代码、格盘、手动检查所有代码、重装服务器
|
22
houyujiangjun 2018-08-17 21:42:46 +08:00
明显是 cdn 劫持,上证书吧 骚年
|
23
iMusic 2018-08-17 21:43:48 +08:00
像电信搞的鬼
|
24
mytsing520 2018-08-17 21:52:28 +08:00
1.检查 rewrite ;
2.检查代码; 3.检查数据库 |
25
ztaosony 2018-08-17 22:24:47 +08:00
先检查有没有后门,然后把所有的密码都改一遍
|
26
1nclude 2018-08-17 22:30:18 +08:00
先查杀下 webshell,然后查看下日志,看看是怎么进来的
|
27
toarufan 2018-08-17 22:59:13 +08:00
难道不是 http 劫持了,上 https 吧
|
28
Akkuman 2018-08-17 23:22:37 +08:00 via Android
看起来像是 http 劫持,之前碰到过这种情况,上 https
|
29
feifei8868 2018-08-17 23:35:01 +08:00 1
换个网络环境看一下,例如 电信有换联通或移动 看一下 如果只有一家服务商或一家的一个地区基本就确定是劫持,如果确定是了 就上 HTTPS 了 如果不是劫持,就"找人"检查程序服务器了
|
30
LvMax 2018-08-18 00:00:54 +08:00 via iPhone
D 盾扫服务器 找有没有 shell 其他的再说 基本上是被写 shell 了
|
31
a516307724 2018-08-18 10:49:45 +08:00
看起来像是 网络劫持,换个网络环境看看吧
|
32
ddzzhen 2018-08-18 11:06:24 +08:00
full ssl
|
33
abccccabc 2018-08-18 14:19:11 +08:00
楼主,查出来问题了没有?
|
34
VgV 2018-08-18 15:27:15 +08:00
瑟瑟发抖,加个只读这个操作真是可怕。。
ps:楼上说的 http 劫持,能跳到菠菜?那有关部门第一时间就上门查运营商水表。 |
35
hu5ky 2018-08-18 15:36:40 +08:00
什么原因可以自己查日志分析怎么入侵的啊,,你这个什么逻辑????
|
36
uptime 2018-08-18 15:56:01 +08:00
格盘重装也有说的……
|
38
laolinn 2018-08-18 22:42:48 +08:00 via iPhone
首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的,是的话赶紧换掉。看看日志文件有什么可疑地方,最后就是找时间把网站的漏洞修复一下
|
39
llllllLllll 2018-08-19 08:54:03 +08:00
看一下有没有异常进程
|
40
doufenger OP 我把被串改的代码贴到补充了 哪位大神看看
|