近日网站被挂马了,首页被恶意篡改,浏览器进入跳转菠菜页面,而且只要一个网站被挂马,基本一个服务器都无法幸免,所以觉得这些人为了流量不择手段非常可恨,但当自己深入了解并执行了木马文件之后,才发现,原来别人已经无比的宽容,手下留情,下面带大家看下那些挂马的人是怎么手下留情的,让你知道下挂马的危害与恐怖程度~~~废话不多说直接进入主题
一、挂马文件
网站被挂马最主要的表现就是首页被修改,黑客通过篡改首页文件并判断进入页面方式,从而截取用户流量,如:直接输入网址进入,看到的是被篡改后的首页静态html页面,一般人不注意还不一定能看出一样。但是如果通过搜索引擎,如百度进入,name直接会跳转拦截目标站,所以直接看源码,一眼就能看出来,解决方法是恢复成原来的就可以了。
恢复首页肯定是不够的,我们来先看两个常见的木马文件内容是什么然后去逐步找到这些文件并删掉才能完全杜绝被劫持
这是其中一个文件,看似几行代码没什么,但是一旦你运行之后你就会发现,做这事的人真的很仁慈了,接着看下面的截图
登录进来后,你会发现别人获得了你服务器的所有权限,可以说是想干嘛,就像打开windows的资源管理器一样方便、简单,而且还是超级管理权的账号进入,要是得罪这样的人,别人能把你系统直接格式化了,想想这是有多恐怖,所以还能正常访问网站的小伙伴你就偷着乐吧~~
二、修复方法
那知道了挂马的危害,我们现在就要想办法清除这些文件,方法通用,我们先找到木马文件中一些特别的标识,然后进行批量查找
我这里是Linux系统,直接通过root进入,然后进入网站所在的目录 ,通过 grep -rn --include='*.php' "文件内容" 来查找存在可以文件的路径,再进行删除文件
ThinkPHP 5.x框架被挂马还需要修改一个文件或者更新官方文件
找到thinkphp\library\think\Request.php 文件中的method方法 约500
对于这一块网上没太多人去讲,具体我也不知道别人是如何攻击服务器的,但是这种为了流量不择手段的行为,这种偷窃、盗取他人站点流量的行为,特别还都是为了菠菜服务的这种行为,真的得对你说一声 *** ,你不是英雄,你谁也不是