问:从昨天下午开始,陆续有全国各地多位用户反应无法访问我的网站,昨天晚上排查发现这些用户全部是用的中国移动的网络,我昨晚也打过两次电话和你们有沟通,你们应该有记录。
到今天早上我发现还没有恢复,就觉得有些奇怪,运营商或机房不可能效率这么低吧,一晚上没解决。然后我仔细回想了一下,我昨天下午在安全组策略中封了几个对我网站进行注入攻击的IP,难道是这个原因。我先把拦截IP禁用了,发现马上恢复了,果然是这个原因,后逐一排查,发现是127.0.0.1这个IP的原因,只要一封这个IP,移动用户就无法访问。
这个IP是洛阳电信,我记得移动用户访问咱们的智能双线就要通过洛阳节点,难道这个IP是一个中转服务器的IP吗?
这个IP对我的网站进行SQL注入攻击,但被我站程序拦截并记录下来了。
莫非该机器被黑了?请贵司赶紧排查。
,127.0.0.1 IP洛阳节点问题,怀疑被黑
答:您好,您封停的ip应是洛阳的一个中转节点ip地址,移动线路访问会经过此ip地址访问,您可不用封停此ip即可正常使用,非常感谢您长期对我司的支持!
问:
答:您好,核实您的网站确实被挂马了,请删除index.html,重新生成一下首页,再试访问下。建议升级程序到最新版本,另外可以设置首页的只读。
如需我司处理扣除金牌服务后还需收费100元,您可以充值到账户余额回复工单,我们处理后会帮您设置一些基本的安全,谢谢。
问:你去设置吧账户有余额,我升级一下
问:
答:您好,目前查看您可能在程序后台操作,我们发现部分文件被删除了,为了恢复访问从备份中拷贝了站点并且清理挂马,现在您最初操作的文件是在public_html_bak下,检查这个备份程序异常,服务器中权限也很错乱。
现在网站可以打开了,帮您在云锁中设置了安全,这可能导致您没有权限操作站点,现已关闭,请您操作完毕后联系我司进一步设置云锁的安全。谢谢。
问:我又删除了麻烦您帮我重新上传下,直接上传到那个根目录那里可以?我没有清理了挂马的源文件,您帮我上传到原目录里边麻烦您了
问:我也是醉了告诉我不要在后台操作嘛- –
答:您好,目前比对了文件夹,看您还未操作删除什么内容,网站也可以访问,如果您删除过一些生成目录,可以登录后台重新生成一下,谢谢。
问:那个public_html里的文件可以正常操作了?帮我设置一下文件权限之类的,我这边设置会自动还原我也很无奈。data、uploads 这两个文件我要取消执行功能,这个文件设置data/common.inc.php只读
答:您好,云锁中已经关闭了防篡改,目前查看public_html下权限正常,请重新再试。已帮您通过.htaccess设置取消data uploads的php执行权限。
请访问http://www.yunsuo.com.cn/download.html下载云锁PC控制端,在自己电脑上登录后,开启防篡改,非常感谢您长期对我司的支持!
问:还是一样乱码了喔麻烦你们在源文件中操作吧http://www.yaweiyimei.com/
答:您好,-rw-r–r– 1 www www 58330 3?? 26 20:53 index.html
首页昨天晚上又被修改过,说明您的目录里应该还存在后门文件,由于目录较多,建议您通过wdcp编辑站点,勾选记录访问日志,这样下次被更改文件后可通过日志排查到后门文件位置,另外,现在您只需要登陆后台重新更新下首页即可,非常感谢您长期对我司的支持!
问:你们不是已经处理好了吗?
答:您好,您的程序存在漏洞是最根本的原因,我们所做的尽力清理后门,挂马以及设置一些安全策略来增强防护,但不保证100%%u5B89全,要从根本上解决,那必须是程序商修复程序漏洞,非常感谢您长期对我司的支持!
问:那麻烦您帮我把权限设置下。data、uploads 这两个文件我要取消执行功能,这个文件设置data/common.inc.php只读
答:您好,您在网站根目录下创建一个文件,命名为.htaccess,然后写入
RewriteEngine on RewriteCond % !^$ RewriteRule uploads/(.*).(php)$ – [F] RewriteRule data/(.*).(php)$ – [F] 这样uploads和data下的文件就没有执行权限了;设置只读您可以进入wdcp的文件管理,进入data目录,勾选common.inc.php,选择更改权限,填写444,确定即可,非常感谢您长期对我司的支持!
