國慶假日期間我們eSafe白帽資安網公司接到網站站長的求助,說自己的網站標題被篡改導致網站
在百度搜索中,提示“百度網址安全中心提醒您”的百度攔截,導致網站正常用戶無法瀏覽網站,
並被跳轉到一些菠菜du博,彩票網站上去,而且很明顯的一個特徵就是在百度中搜索關鍵詞的
網站快照標題被修改成了彩票,菠菜頁面,而且發現網站首頁文件如index.php或index.html被增
加了一些可疑的加密代碼。
上述圖片中所顯示的就是標題被修改所收錄的快照頁面並被百度網址安全中心提醒您該頁面可
能存在違法信息!對此我們安排網站安全技術對網站的源代碼進行詳細深入的網站程序代碼安
全檢測以及網站漏洞檢測和網站木馬後門的清理,發現此客戶網站用的是開源php+mysql
架構的織夢系統dedecms如圖:
能存在違法信息!對此我們安排網站安全技術對網站的源代碼進行詳細深入的網站程序代碼安
全檢測以及網站漏洞檢測和網站木馬後門的清理,發現此客戶網站用的是開源php+mysql
架構的織夢系統dedecms如圖:
而且這種網站標題title被修改並被跳轉到一些du博娛樂網站的問題是反覆性質的。被修改,而且國慶
期間的手法也相當超出以前被駭客篡改的手法,是根據地區性質的屏蔽與跳轉,比如你網站負責人地
址是福建的,那麼代碼裡就對福建地區的IP訪問網站不會跳轉,讓你無法察覺!實在是道高一尺魔
高一丈,如果不是專業做網站安全的工程師是無法發現的!
那麼我就把代碼公佈一下截圖:
期間的手法也相當超出以前被駭客篡改的手法,是根據地區性質的屏蔽與跳轉,比如你網站負責人地
址是福建的,那麼代碼裡就對福建地區的IP訪問網站不會跳轉,讓你無法察覺!實在是道高一尺魔
高一丈,如果不是專業做網站安全的工程師是無法發現的!
那麼我就把代碼公佈一下截圖:
福建地區的IP直接被跳轉到indax.php也就是程序文件沒被篡改過的地址!讓你無法察覺網站有任
何異樣,只有除了福建地區的用戶訪問網站才會被跳轉到加密代碼裡的du博娛樂網站,對此我們
網站安全檢測部門的技術人員對該客戶的網站進行了詳細的代碼安全審計後發現網站目錄裡存
在8個腳本木馬後門,其中隱蔽性質的木馬後門就有2個,繞過了所有市面上的殺毒軟件,隱蔽的腳
本小馬代碼如下:
何異樣,只有除了福建地區的用戶訪問網站才會被跳轉到加密代碼裡的du博娛樂網站,對此我們
網站安全檢測部門的技術人員對該客戶的網站進行了詳細的代碼安全審計後發現網站目錄裡存
在8個腳本木馬後門,其中隱蔽性質的木馬後門就有2個,繞過了所有市面上的殺毒軟件,隱蔽的腳
本小馬代碼如下:
很多站長發現首頁文件被修改後,第一反應就是清除加密代碼,或上傳備份文件覆蓋,但這不是
最好的解決辦法,因為你清除這些加密跳轉的代碼後沒過多久就又被修改了!而且還是反覆
性質的,基本都是在凌晨被修改,而且很多網站標題被改的網站都是一些企業網站,而且都是
想先清理這個加密代碼然後跟領導匯報這個情況,這樣只能解決當時情況恢復正常訪問,但
是沒過多久就又被修改了!建議各位站長和企業網站負責人找專門做網站安全的公司來處
理此情況。
最好的解決辦法,因為你清除這些加密跳轉的代碼後沒過多久就又被修改了!而且還是反覆
性質的,基本都是在凌晨被修改,而且很多網站標題被改的網站都是一些企業網站,而且都是
想先清理這個加密代碼然後跟領導匯報這個情況,這樣只能解決當時情況恢復正常訪問,但
是沒過多久就又被修改了!建議各位站長和企業網站負責人找專門做網站安全的公司來處
理此情況。
網站標題被篡改的解決辦法
首先找到首頁文件如index.php或index.html或index.htm或index.asp找到文件內容頂部加密的
字符串刪除掉,如果怕刪除錯誤可以先找下備份文件進行覆蓋,然後對網站的後台目錄進行
更改不要用默認的名稱如admin或dede或guanli等名稱,對後台管理員的密碼進行修改,把密碼
加強到12到16位,防止被sql注入爆出md5值,把上傳圖片的目錄設置取消腳本權限,對上傳
文件的程序代碼進行過濾加強上傳擴展名的防範,如果對程序代碼不熟悉的話,建議找專業做
網站安全的公司來處理,國內推薦esafe.tw,以及綠盟,啟蒙星辰等網站安全公司來處理。
字符串刪除掉,如果怕刪除錯誤可以先找下備份文件進行覆蓋,然後對網站的後台目錄進行
更改不要用默認的名稱如admin或dede或guanli等名稱,對後台管理員的密碼進行修改,把密碼
加強到12到16位,防止被sql注入爆出md5值,把上傳圖片的目錄設置取消腳本權限,對上傳
文件的程序代碼進行過濾加強上傳擴展名的防範,如果對程序代碼不熟悉的話,建議找專業做
網站安全的公司來處理,國內推薦esafe.tw,以及綠盟,啟蒙星辰等網站安全公司來處理。