最近接到一个客户的反馈,说是自己的网站通过域名访问可以正常打开网站,通过百度搜索出来的结果点击进去就会跳转到一个非法赌博网站。客户并没有在网站后台和网站服务器上建立302跳转功能,起初我也很纳闷,认为这是百度方面BUG。最后平静地思考了一下就开始对客户网站进行成因分析,最终找出了缘由。
基本上遇到这种问题,都可以通过浏览器自带的开发者工具(F12)找到缘由,通过查看客户网站的网站源码发现在网站头部有一段可疑的javascript代码,并且网站的标题还通过Unicode编码了,通过Unicode解码发现网站标题就是非法赌博网站的标题;这一征兆从表面上看一定是网站遭到恶意篡改了。
根据上诉的特征,极有可能网站是被挂马/后门之内的非法入侵,导致网站被篡改。后来经过查看客户的云虚拟主机目录下有一个可疑的asp文件,经过查看这个asp文件的代码发现就是经典的“一句话木马”。通过这个木马攻击者可以远程执行代码,并且还能进行提权操作。查看到这里基本上是可以确定该网站是被非法上传了一个ASP木马文件,攻击者通过这个木马可以轻松地操作虚拟主机内文件并且篡改。
如果小伙伴们还有其他避免网站挂马的方法,欢迎评论区留言,一起探讨探讨
Copyright © 2022-2023 jiulingyun.cn. All Rights Reserved. 九灵云 版权所有 宁波九灵电子商务有限公司 浙ICP备2023001691号