• 域名认证
  • 作品:209
  • 记录:457|
  • 随笔:77|
  • 资源:315|
  • 评论:297|
  • 会员:6341|
欢迎来到墨鱼博客!
最近排查了几例首页文件被串改的案例,特别记录说明下!

最近排查了几例首页文件被串改的案例,特别记录说明下!

浏览次数:

作者: admin

信息来源:

更新日期: 2018-05-27 13:53:09

文章简介

陆续接了几个客户和非客户的故障,使用程序有帝国CMS有其他CMS,问题均是首页index.html被修改了TDK,症状是访问首页就跳转到其他的非法站点了。

登录客户服务器和网站后台,云查

  • 正文开始
  • 相关文章

陆续接了几个客户和非客户的故障,使用程序有帝国CMS有其他CMS,问题均是首页index.html被修改了TDK,症状是访问首页就跳转到其他的非法站点。
问题简述:
登录客户服务器和网站后台,云查杀木马,发现没有可疑PHP,后台数据库模板无任何被修改的记录,初步判断只修改了index.html。后台更新首页,或者手工改动index.html为正常文件,然后服务器硬抓包监听,3个小时候回来查看,按照修改日期,发现文件在1小时之前被修改,没有抓到任何提交过程。说明不是从网站提交过来的。是系统级的修改。确定为服务器感染事件。本着一切小心的态度,重新安装服务器系统,恢复备份,就在这时发现问题了:刚装完系统win2008纯净无环境版本,发现装的防火墙(ARP狗)报告了ARP欺骗警告。安装IIS后,建立一个空网站,里面只放一个index.html,发现被修改。于是联系空间商,空间商协助排查,发现是机房ARP蠕虫,空间商修复解决!

还有一个实例,也是首页被改,但是其他PHP文件都被插入了一条一句话木马。所有目录和PHP基本都被修改了,目录里多了很多未知文件,服务器进程不正常。毫无疑问是中毒了。追查来源是因为另一个站使用了一个来源不明的插件导致跨站上传了木马。

为了保证网站安全,请尽量做好服务器安全,LIUNX环境是首选,WIN的服务器做好升级,网站目录权限要做好,避免跨站攻击,一个站出问题所有站出问题。不要服务器上运行软件,尽可能的安装一些防护软件,比如云锁,安全狗等。定期使用PHP云查杀等软件扫描木马。最后重要一点,定时做好网站和数据库备份工作,多日期版本备份。
自查方法:
检查首页文件index.html如果有下列代码的,请继续往下看:


继续登录后台,查看你的首页模板(后台-模板-首页模板 或者 后台-模板-列表模板-首页列表模板)如果没有上述代码,基本可以认定为服务器感染,解决方法如下:
1.删除空间里所有index.html和index_xx.html和index.php(如果有)等文件,重新后台更新首页。清理浏览器缓存,再次检查文件内有没有上述恶意代码。
2.自查服务器安全和文件代码安全,请做好服务器安全,和下载全部文件用云查杀(百度搜:护卫神·云查杀系统)软件进行一次查杀,此过程如果客户无法自行处理,可以联系墨鱼收费处理!
 

PS.由于前期整理文章没有进行格式化信息处理,导致有些包含代码修改的信息,根式混乱看不清楚。如果发现有此类问题,请在下方评论留言,墨鱼第一时间进行格式化整理!感谢配合

标签:

转载请注明: 帝国CMS模板 » 最近排查了几例首页文件被串改的案例,特别记录说明下!

收藏此文 感觉不错,赞哦! ( ) 打赏本站

如果本文对你有所帮助请打赏本站

  • 打赏方法如下:
  • 支付宝打赏
    支付宝扫描打赏
    微信打赏
    微信扫描打赏
帝国CMS按小时发布文章数的统计(详细说明)
« 上一篇2018年05月13日
帝国CMS顶一下(diggtop)踩一下(diggdown)具体实现方法详解!
下一篇 » 2018年05月29日

精彩评论