2024-04-10
最近接到一个客户的反馈,说是自己的网站通过域名访问可以正常打开网站,通过百度搜索出来的结果点击进去就会跳转到一个非法赌博网站。客户并没有在网站后台和网站服务器上建立302跳转功能,起初我也很纳闷,认为这是百度方面BUG。最后平静地思考了一下就开始对客户网站进行成因分析,最终找出了缘由。
基本上遇到这种问题,都可以通过浏览器自带的开发者工具(F12)找到缘由,通过查看客户网站的网站源码发现在网站头部有一段可疑的javascript代码,并且网站的标题还通过Unicode编码了,通过Unicode解码发现网站标题就是非法赌博网站的标题;这一征兆从表面上看一定是网站遭到恶意篡改了。
根据上述的特征,极有可能网站是被挂马/后门之类的非法入侵,导致网站被篡改。后来经过查看客户的云虚拟主机目录下有一个可疑的asp文件,经过查看这个asp文件的代码发现就是经典的“一句话木马”。通过这个木马攻击者可以远程执行代码,并且还能进行提权操作。查看到这里基本上是可以确定该网站是被非法上传了一个ASP木马文件,攻击者通过这个木马可以轻松地操作虚拟主机内文件并且篡改。
大家在搭建网站的时候, 最好不要下载来路不明的建站系统源码。
如果是企业建站最好是选用知名度比较高的建站系统,例如百度智能建站、米拓建站系统。
建站系统后台如果有限制文件上传的功能,一定要把.asp .php后缀名的文件做限制上传。
后台账号密码切勿使用初始的账号密码,如:admin admin这种。
上海:上海市徐汇区虹桥路355号城开大厦4楼
苏州:吴中区苏蠡路59号蠡和大厦701室
昆山:昆山市庆丰西路479号1号楼2楼
无锡:无锡市滨湖区华邸国际大厦5楼
南通:南通市崇川区崇州达到60号紫琅科技城10A-608
常州:常州市天宁区恒生科技园29号501
Copyright © 江苏博敏网络科技有限公司 All rights reserved.
备案号:苏ICP备10054166号
苏公网安备32058302003559
