問:您好,網站再次被黑,如下圖,搜索:極速空間CPU天梯圖,點擊第一個鏈接后跳轉到非法網站,如下
在4月26日網站也出現過此情況,采取了如下手段恢復:1、清理木馬2、全站http到https3、用云鎖限制修改、上傳
今天早上發現再次跳轉,采取措施如下:經過“守衛神”掃描,報告有幾個頁面木馬(但看代碼應屬于誤報)目前懷疑服務器中毒,原因是上次在服務器的home/web_los下發現一個1.txt,其中的一段源碼,正是跳轉的目標網站。
麻煩幫忙查找原因,不勝感謝!,網站被黑,關鍵詞跳轉
答:您好,
核實只有id為411這篇文章才有跳轉代碼,其他文章正常,而從數據庫中也可以看到,該文章修改時間是2020/4/25 15:30:0,所以是以前修改的;
現在再次掃描目錄沒有發現后門文件,幫您清理了文章內容中的js代碼,您把瀏覽器緩存清理下關閉后重新打開就不會跳轉了,非常感謝您長期對我司的支持!
問:您好1、是不是跳轉代碼寫入數據庫了呢?2、自己如何排查還有沒有其它文章被加了跳轉?3、這屬于SQL注入吧,應該如何預防呢?麻煩指導一下,自己學兩招,以免有些小問題就來麻煩您
答:您好,1.是的, 上面已經給您截圖了,黑客修改了id為411這篇文章, 在文章末尾加了代碼造成跳轉
2.已經幫您排查了,上面圖4,搜索了所有文章, 沒有這段代碼了
3.這個不是sql注入,應該是登陸了后臺或者直接通過泄漏的數據庫帳號密碼進去單獨修改的這篇文章內容
目前建議您把相關服務器密碼,數據庫密碼,網站后臺密碼都修改一次即可,非常感謝您長期對我司的支持!
問:您好,您的判斷非常準確,在后臺發現:黑客在 19:01登陸后臺,修改了id為411文章,而且之前還刪除了操作日志。我可以肯定,修改日期一定是 19:01,因為我們最近在監控“關鍵詞劫持”,昨天白天并沒有跳轉。現在的疑惑是:您提示文章最后修改日期為2020/4/25 15:30:0,不知道這個哪里看呢?為什么和黑客修改日期不一致呢?
非常感謝
答:您好,當時沒有完整截圖,下面還有一個字段uptime,也就是文章的更新時間記錄,在數據庫中是記錄的unix時間戳,轉換成正常時間就是2020/4/25 15:30:0,非常感謝您長期對我司的支持!
問:您好,發現黑客,還修改了不少文章:如百度:五大低性價比電腦配置(小白寶典) 搜索結果的第二項,點擊跳轉。他還修改了如下文章:有沒有辦法批量搜索刪除呢?懇請授人以漁
答:您好,通過wdcp中的phpmy進入數據庫搜索,目前看確實還有15篇文章被加了代碼,上午可能搜索有誤沒搜到;
UPDATE `ecs_article` SET `content` = REPLACE(`content`, \'<script language="Javascript">
通過執行這樣的sql語句已經幫您批量刪除了跳轉代碼,非常感謝您長期對我司的支持!
問:您好,麻煩再問問,1、云鎖的網站防護日志是放在服務器哪個文件呢?2、網站防護日志能否查詢最近幾天的?啟用了云鎖的“防篡改”后,網站防護日志只能看到當天的了,而系統防護日志,幾天就有10多萬條,好像正常訪問都計入日志了承蒙解惑,不勝感謝~
答:您好,
云鎖軟件非我司開發,查詢日志在 附圖查詢 ,可以選擇查詢日期 ,
開啟了防篡改后訪問訪問篡改的文件會計入日志,
非常感謝您長期對我司的支持,謝謝!
問:您好,這個日志是保存在云鎖公司的服務器上吧?現在查詢系統防護日志,無論輸入哪個時間,都只能看到當天的日志,不知道是否設置問題
答:您好,
非常抱歉,因云鎖并非我司開發軟件,其內部構架設置我司也不是很清楚,一般此類日志是存在云鎖安裝的服務器上,或者有可能是云鎖內部功能,直接實現的臨時統計的服務器系統內部日志。而日志記錄時間這些,其一般是記錄當前有出現過攻擊等的日志,如沒有攻擊其就沒有日志,非常感謝您長期對我司的支持!
問:您好,最近持續發現有人試圖上傳木馬和刪除行為但云鎖并沒有顯示該行為的來源IP,由于知道該行為的訪問具體時間(可精確到秒),能否通過網站日志查看該行為的來源IP呢?如果可以,麻煩告知下載日志的方法。非常感謝!
答:您好,登陸wdcp開啟網站日志,然后您可以對比云鎖記錄的時間分析日志查看是否有異常。