一、起因
昨天收到上级通报,官方网站有暗链,通报截图如下:
HTML里确实有暗链,定性中危。第一反应是某位员工又直接复制粘贴的某个网页,连暗链一起贴了过来,或者误引用某个互联网上的网页,而那个站点因为某些原因现在变成了垃圾站点。于是建议网站管理员直接删除对应文章即可。
二、起火
不一会儿,网站管理员登录服务器后扔过来两张图:
第一张图如上,瞬时上传大量html文件;第二张图如下,每一个html里都是暗链。
这时候意识到事情不会像通报中的暗链那么简单,甚至有些严重,初步猜测是服务器已失陷,已经可以随时批量挂暗链刷流量!于是开始排查。鉴于单位里的安全设备比较贫瘠,无法查看全流量,干脆直接上机......根据文件上传的物理路径很容易找到上传点:
<