问:您好,网站再次被黑,如下图,搜索:极速空间CPU天梯图,点击第一个链接后跳转到非法网站,如下
在4月26日网站也出现过此情况,采取了如下手段恢复:1、清理木马2、全站http到https3、用云锁限制修改、上传
今天早上发现再次跳转,采取措施如下:经过“守卫神”扫描,报告有几个页面木马(但看代码应属于误报)目前怀疑服务器中毒,原因是上次在服务器的home/web_los下发现一个1.txt,其中的一段源码,正是跳转的目标网站。
麻烦帮忙查找原因,不胜感谢!,网站被黑,关键词跳转
答:您好,
核实只有id为411这篇文章才有跳转代码,其他文章正常,而从数据库中也可以看到,该文章修改时间是2020/4/25 15:30:0,所以是以前修改的;
现在再次扫描目录没有发现后门文件,帮您清理了文章内容中的js代码,您把浏览器缓存清理下关闭后重新打开就不会跳转了,非常感谢您长期对我司的支持!
问:您好1、是不是跳转代码写入数据库了呢?2、自己如何排查还有没有其它文章被加了跳转?3、这属于SQL注入吧,应该如何预防呢?麻烦指导一下,自己学两招,以免有些小问题就来麻烦您
答:您好,1.是的, 上面已经给您截图了,黑客修改了id为411这篇文章, 在文章末尾加了代码造成跳转
2.已经帮您排查了,上面图4,搜索了所有文章, 没有这段代码了
3.这个不是sql注入,应该是登陆了后台或者直接通过泄漏的数据库帐号密码进去单独修改的这篇文章内容
目前建议您把相关服务器密码,数据库密码,网站后台密码都修改一次即可,非常感谢您长期对我司的支持!
问:您好,您的判断非常准确,在后台发现:黑客在 19:01登陆后台,修改了id为411文章,而且之前还删除了操作日志。我可以肯定,修改日期一定是 19:01,因为我们最近在监控“关键词劫持”,昨天白天并没有跳转。现在的疑惑是:您提示文章最后修改日期为2020/4/25 15:30:0,不知道这个哪里看呢?为什么和黑客修改日期不一致呢?
非常感谢
答:您好,当时没有完整截图,下面还有一个字段uptime,也就是文章的更新时间记录,在数据库中是记录的unix时间戳,转换成正常时间就是2020/4/25 15:30:0,非常感谢您长期对我司的支持!
问:您好,发现黑客,还修改了不少文章:如百度:五大低性价比电脑配置(小白宝典) 搜索结果的第二项,点击跳转。他还修改了如下文章:有没有办法批量搜索删除呢?恳请授人以渔
答:您好,通过wdcp中的phpmy进入数据库搜索,目前看确实还有15篇文章被加了代码,上午可能搜索有误没搜到;
UPDATE `ecs_article` SET `content` = REPLACE(`content`, \'<script language="Javascript">
通过执行这样的sql语句已经帮您批量删除了跳转代码,非常感谢您长期对我司的支持!
问:您好,麻烦再问问,1、云锁的网站防护日志是放在服务器哪个文件呢?2、网站防护日志能否查询最近几天的?启用了云锁的“防篡改”后,网站防护日志只能看到当天的了,而系统防护日志,几天就有10多万条,好像正常访问都计入日志了承蒙解惑,不胜感谢~
答:您好,
云锁软件非我司开发,查询日志在 附图查询 ,可以选择查询日期 ,
开启了防篡改后访问访问篡改的文件会计入日志,
非常感谢您长期对我司的支持,谢谢!
问:您好,这个日志是保存在云锁公司的服务器上吧?现在查询系统防护日志,无论输入哪个时间,都只能看到当天的日志,不知道是否设置问题
答:您好,
非常抱歉,因云锁并非我司开发软件,其内部构架设置我司也不是很清楚,一般此类日志是存在云锁安装的服务器上,或者有可能是云锁内部功能,直接实现的临时统计的服务器系统内部日志。而日志记录时间这些,其一般是记录当前有出现过攻击等的日志,如没有攻击其就没有日志,非常感谢您长期对我司的支持!
问:您好,最近持续发现有人试图上传木马和删除行为但云锁并没有显示该行为的来源IP,由于知道该行为的访问具体时间(可精确到秒),能否通过网站日志查看该行为的来源IP呢?如果可以,麻烦告知下载日志的方法。非常感谢!
答:您好,登陆wdcp开启网站日志,然后您可以对比云锁记录的时间分析日志查看是否有异常。
