php项目被黑了 处理,记录一下网站被黑(攻击)的处理过程

最新推荐文章于 2022-01-13 15:32:23 发布
最新推荐文章于 2022-01-13 15:32:23 发布
阅读量603 收藏
点赞数
文章标签: php项目被黑了 处理

今天一个朋友发来一个网站说网站被攻击了。我打开网站看了下,网页在浏览器里看着一切正常。看源代码的时候,发现了问题。网站的标题、描述、关键词都被修改了。这里记录一下处理的过程。

1. 查看网站的程序

网站的程序是用织梦系统,因为是织梦系统的网站。首页有静态访问,和动态访问两种。这个网站是动态访问的。然后就检查了首页文件 index.php 和模板文件,发现这两块是没有问题的。平时经常遇到的是生成一个静态的首页,这个首页有问题,其他的页面是正常的。看来这个问题,不是在这里。

2. 查看最近被修改的文件

因为程序是 php的所就查找了,最近一段时间被修改的php文件。

# 查找最近7天新增或者被修改的php文件

find . -name '*.php' -mtime -7

# 查找被 /a/about.html 更晚的php文件

find . -name '*.php' -cnewer /a/about.html

因为织梦的程序会生成静态文件,通常有些单页只生成一次。找下生成时间,比这个文件更晚的文件。通过文件查找就找到了一些可疑的文件

./kosys.php

./data/safe/inc_safe_config.php

./data/config.cache.inc.php

./data/cache/listcache/90/5b/e5/905be555f4a9373271835a249545dad8.php

./data/cache/memberlogin/c4/ca/42/c4ca4238a0b923820dcc509a6f75849b.php

./data/enums/vocation.php

...

./index.php

./static/m/view.php

./static/m/index.php

./static/m/list.php

./dils.php

文件也不多,就一个一个的查看了下,如果是恶意文件,就是直接删除掉。恶意文件中通常会含有 base64_decode,还有就是经过编码的一大片密密麻麻的字符。经过以上的处理,打开再次刷新的时候网站已经恢复正常了。

查找网站被攻击的原因

首先是需要确定被攻击的时间。删除恶意文件 kosys.php的时候看了一下,文件产生的时间。然后就调取了,这段时间的web服务器的访问日志。发现了当天有好多次登陆。我问了下朋友密码是多少,他说是 12345678, 他说密码是12345678。然后又查看了下 post提交的相关的日志,发现访问了 好几次这个文件dede/file_manage_control.php。可是网站网站好长时间没更新了。说明肯定是在上传恶意文件。由此找到了原因网站被猜测出用户名和密码后,上传了恶意文件 。

仇子杰TuesdayQ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php+mysql实现简单登录注册修改密码网页
10-21
主要为大家详细介绍了php+mysql实现简单登录注册修改密码系统,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
php还原网页
weixin_64497923的博客
02-27 272
5,还原有两种方式,上面是第一种,我们可以将此代码复制几份,命名为list1,list2,list3;再查看ZBloglt内的分类管理ID,将34行的最后改为相应的ID,将复制的代码都加上循环语句,这样我们打开网站,选择导航栏内的内容,就能进行相应的跳转了(引号内的部分写自己的文章分类)2,打开我们之前创建的网站,我们为了还原ZBloglt,导航栏应该可以点击并且跳转相应的内容。if($row["cate_Name"]=="有趣分类"){if($row["cate_Name"]=="学习强国"){
一次网站攻击日志分析引发的思考
si1ence的博客
12-05 393
0x0 背景 前几天发现自己的VPS服务器莫名其妙遭受一些漏洞利用的扫描事件,然后就抓个包看一下到底是个什么情况。抓到的数据包如下就是一些ThinkPHP5的远程命令执行漏洞,本来也很正常这种事情但是注意到这个payload有点意思,就花点心思瞧瞧。 0x1 分析思路 漏洞的原理分析就不多再赘述比较好奇的是这个http://107.148.223.222/php/1/editor.txt网页访问后确认就是一个wesbehll后门。 该IP的归属地在米国加州,提示为ID...
php网站,如何掉一个网站
weixin_36298146的博客
03-10 2546
首先,观察指定网站。入侵指定网站是需要条件的:要先观察这个网站是动态还是静态的。首先介绍下什么样站点可以入侵:我认为必须是动态的网站 如ASP、PHP、 JSP等代码编写的站点如果是静态的(.htm或html),一般是不会成功的。如果要入侵的目标网站是动态的,就可以利用动态网站的漏洞进行入侵。Quote:以下是入侵网站常用方法:1.上传漏洞如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆...
PHP网站下马处理以及防大全解读
这么多柠檬c
12-11 1175
脚本文件异常情况 1.可能伪造框架或cms系统相关的配置文件或类,一句话或上传脚本 2.可能寄生在系统配置中的一句话木马 3.文件上传目录存在php或其他脚本 4.稀奇古怪的命名以及古怪的文件内容 5.和已有文件一样命名的奇怪文件 和类相近名称   远程下载代码   一句话eval 免杀木马: http://tool.apizl.com/dev/runCod...
php获取操作记录,php使用历史记录功能
weixin_39715348的博客
03-10 549
本篇文章主要介绍php使用历史记录功能,感兴趣的朋友参考下,希望对大家有所帮助。为实现一个记录操作历史的功能1. 和撤销,反撤销功能类似的一个功能。(实现操作的前进后退)2. 和discuz论坛登录后查看帖子(可以前进后退查看过的帖子,还有帖子查看历史记录)3. 逻辑和windows资源管理器地址栏前进后退功能一样。根据这种需要,实现了一个数据结构。写了一个通用的类,暂叫历史记录类吧。【原理和钟...
php生成链,网站链接(进入网最有效办法)
weixin_36123300的博客
04-04 2700
一个客户网站被入侵,网站根目录生成1W多链文件,同也被各搜索引擎收录。贸然删去也有一定的影响,现来求救,下面记录处理笔记。收录效果图:收录垃圾违法内容处理过程该客户服务器是IIS7+php的环境。误区:刚开始以为只要做个404就可以了,没想到设置好404访问收录的地址竟然提示注:地址形式http://www.xxxx.com/asdfasf.php?url=asdfasdfNo input f...
thinkphp有关于收录问题,seo优化
wyisgoodman的博客
01-07 341
robots文件设置是否能被爬取 文件位置: public\robots.txt 允许所有的robot访问 User-agent: * Disallow: 要从搜索引擎中删除您的网站,并防止所有漫游器在以后抓取您的网站,请将以下文本替换掉robots.txt User-agent: * Disallow: / ...
phpcms被攻击的解决方案
qq_16144799的博客
04-21 1091
1.搜索跳转到博彩网站:被挂马,需要检查所有html页面是否有 这种标签里面的内容需要全部删除,可以利用www目录下的文件 debug.js进行批量删除 debug.js运行方式通过ssh进入到www目录下以后执行node deBug.js 如果还有的话phpcms就检查/caches/configs/database.php里面是否有木马文件 ,检查caches\configs是否有c...
php防止网站攻击的应急代码
12-18
前不久一个网站竟然被攻击,数据库被刷掉了,幸好客户机器...这个方法总结为一句话就是:通过禁止IP频繁访问防止网站被防攻击。 <?php header('Content-type: text/html; charset=utf-8'); $ip=$_SERVER['REMOTE_
PHP中通过语义URL防止网站攻击的方法分享
01-20
什么是语义URL 攻击? 好奇心是很多攻击者的主要动机,语义URL 攻击就是一个很好的例子。此类攻击主要包括对URL 进行编辑以期发现一些有趣的事情。 例如,如果用户chris 点击了你的软件中的一个链接并到达了页面...
网站防被cc攻击系统PHP源码
06-15
网站防被cc攻击系统PHP源码,本源码仅支持php程序,类似百度云加速防CC访问机制,就能拦截一般的CC攻击了。
新版PHP防被CC攻击网站系统源码
07-09
本源码仅支持PHP程序,类似百度云加速防CC访问机制,就能拦截大部分的CC攻击了。
PHP网页改动后刷新页面还是老样子,要隔一段间才能正确显示的原因及处理办法
esanweb的专栏
05-03 993
运行环境: phpstudy8.1.0.3 PHP:php7.0.9nts 默认情况下,会开启OPcache如图: 这个项选为ONphp.ini中在 ;opcache.huge_code_pages=0 和 [curl] 之间会出现下面这段 zend_extension=php_opcache opcache.enable=1 opcache.enable_cli=1 opcache.mem...
zblog php 首页经常被篡改,zblog php修改后台默认登录地址提高网站安全性
weixin_31669073的博客
03-12 476
如果是asp版本的zblog系统,它的默认后台登录地址是login.asp,php版本的就是login.php,而且其管理目录就是zb_system/admin,这些对网站比较了解的人都会知道,所以如果不修改默认后台地址总会感觉安全性靠不住。出于这个考虑,我今天也一直在想办法修改默认的后台地址,在网上搜索了一下,有很多asp版本的修改方法,也有一些php版本的修改方法,但是一直都不奏效。最后,自己...
index.php修改,WordPress博客程序index.php 主页文件频繁被修改解决记录(已解决) - 勤勤学长...
weixin_42450002的博客
03-09 1808
好久没有更新,从上个月就发现网站程序有个问题,前台所有的链接都只是显示我2018年12月份候的前台页面,还是静态页面。我在文件管理中看到index.php被改成了一个只有静态页面的index.php,文件大小从原本的1kb变成了32kb。这候我只要把index.php换成了原来的又可以正常使用。从我发现问题到今天,快的话十几分钟被改,慢的话隔天。陆陆续续做出以下尝试:更换主题,把其他主题删除掉...
防止和修复php网站被挂木马(宝塔)
qq_40194668的博客
01-13 5067
防止和修复php网站被挂木马
php网站攻击怎么办,php网站攻击了,请问是怎么回事?求解
weixin_39911916的博客
03-11 249
满意答案lovori2013.11.10采纳率:54%等级:11已帮助:9553人攻击的表现形式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。1、服务器端分析方法(1)S...
php开发过程中处理过哪些问题
最新发布
06-11
1. 安全问题:PHP 网站容易受到 SQL 注入、XSS、CSRF 等攻击,需要进行相关防范措施。 2. 性能问题:PHP 代码执行效率较低,需要优化代码、缓存数据等来提升性能。 3. 兼容性问题:不同版本的 PHP 之间可能存在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值