网站频繁被挂马恶意跳转到H网站?教你揪出幕后真凶

winbiz 4月前 3512

本帖最后由 winbiz 于 2019-3-18 11:57 编辑

最近频繁被木马骚扰,不是被修改这个文件就是被修改那个文件,程序也已更新到9.2版,好了几天,问题又来了,而且并没有之前单纯修改index文件那么简单,这次是对数据库下手了。经过排查后终于搞定,遂写下这篇文章只是跟大家分享下自己网站被挂马的经历,以及之后该如何找到木马,加强防范。


网站被挂马后的异常表现

一般被挂的都是UA型的跳转木马,什么是UA型跳转?就是识别到你浏览器UserAgent为移动端,则跳转到木马指定的H网址,如果是PC端则不跳转,正常得很!
黑客很是狡猾,因为大部分站长都是通过电脑访问自己的网站来更新,PC端没发现异常,就以为网站是正常的,黑客正是利用这一点,在你神不知鬼不觉的情况下插入了木马!
所以,建议大家用不同手机浏览器查查是否已中招(常见的UC、手机QQ浏览器、360等)


揪出木马直捣黑窝

揪出木马的方法很多,这里给大家介绍一种比较懒人且简单的方法:
查看被跳转页的源代码!比如我们用手机浏览器进入自己网站首页后跳转至其它网站,那么我们用电脑打开首页,右键查看源代码,搜索“<script”(不含双引号),发现不明来路的url地址或者其它代码则删除。为什么要搜索这个?因为大部分木马都是通过插入js脚本来达到跳转的目的。
比如我们通过搜索找到了以下木马路径:


顺藤摸瓜,找到了该木马,打开看看里面啥玩意:


句句不怀好意,处处透露着险恶!

立马到服务器找到该文件删除之。删完之后并不是工作做完了,因为从源代码中我们可以找到很多地方引入了这个js脚本,说明该木马脚本很可能是写入了数据库。
于是我们把数据库下载下来,用Emeditor或其它代码编辑器打开(千万别用记事本),ctrl+F5查找上图引入的木马链接地址,好家伙!果然揪出18421个:


立即把它替换成空字符!

而且我们可以发现,黑客注入的是sea_data表(存放每部电影标题图片介绍的),@版主大大,seacms这里是否会存在漏洞?


这样不管在哪个页面都能跳转到他制定的网址,真TM狡猾!

数据库清理完后,还原就行了,最好是先删除之前的数据库,重新新建一个数据库再还原!(楼主那台服务器必须先删除旧的重新新建再还原),重新新建的时候,给数据库加个强密码。


数据库改了密码后,还需要改data/common.inc.php这个文件里面的cfg_dbpwd字段,改成你的数据库新密码,就能正常连接,否则网站是打不开的。一切搞定后,记得更新缓存,或者直接删除服务器里的data/cache目录。

当然,如果你会sql查询语句,无需上述步骤,只要写语句替换下就行了。


而通过上面,我们可发现common.inc.php这个文件很重要,存放着数据库密码信息,黑客很可能就利用这一点直接攻破该文件,进而取得数据库密码,达到修改目的,不知高手有无办法对此文件进行加密。


如何防范?


以下几种比较笨但也很实用的方法:
1、定期备份网站和数据库;
2、定期用不同手机浏览器测试网站访问情况;
3、给网站文件加644或444只读权限;
4、加固数据库和后台密码;
5、及时更新网站程序;


当然,以上方法防君子不防小人,对于稍微高级点黑客来说,最有效的还是要有一台好的服务器!




PS:我知道挂马的人是谁,也是做电影站的,而且很有可能藏在论坛里,之前用海洋程序,现在换成苹果程序了,都是做电影站,现在你的流量太少,等你流量高了再以牙还牙!



最新回复 (61)
  • 0 引用 2
    网站频繁被挂马恶意跳转到H网站
  • fm7788 3月前
    0 引用 3
    揪出木马直捣黑窝
  • nohacks 3月前
    0 引用 4
    看看怎么样
  • 0 引用 5
    谢谢分享
  • 0 引用 6
    看看你们的好的
  • queby 3月前
    0 引用 7
    直接贴出他得站 一起干他
  • 2dan 3月前
    0 引用 8
    感谢分享,看的睦
  • 350891 3月前
    0 引用 9
    网站频繁被挂马恶意跳转到H网站?教你揪出幕后真凶 [修改]
  • 0 引用 10
    不不不不不不不不不不不不不不不v
  • 1563920 3月前
    0 引用 11
    感谢分享,看看能否解决问题
  • 0 引用 12
    网站频繁被挂马恶意跳转到H网站?教你揪出幕后真凶 [修改]
  • 小诺 3月前
    0 引用 13
    一级分类
  • 0 引用 14
    技术贴。
  • mogaga 3月前
    0 引用 15
    看看有好办法吗谢谢
  • 0 引用 16
    看看方法
  • 0 引用 17
    网站频繁被挂马恶意跳转到H网站?
  • 0 引用 18
    生日地方的土豆粉短头发分析法
  • elope 3月前
    0 引用 19
    我的域名变红和他挂马也有关系吧
  • 0 引用 20
    网站频繁被挂马恶意跳转到H网站?教你揪出幕后真凶 [修改]
  • 0 引用 21
    好好好好好好好好好好
  • 0 引用 22
    是php有漏洞好不!
  • yu3838yu 3月前
    0 引用 23
    是php有漏洞好不!
  • 0 引用 24
    网站被挂马后的异常表现
  • 0 引用 25
    等于没说,这谁不知道
  • 0 引用 26
    等于没说,这谁不知道
  • 0 引用 27
    我知道挂马的人是谁
  • 0 引用 28
    gfhhhhhfffggfgfgfg
  • rrr8596 3月前
    0 引用 29
    古古怪怪。休息休息
  • bme6 3月前
    0 引用 30
    被挂马恶意跳转到H网
  • xinxin 3月前
    0 引用 31
    看看的收款集电视剧侃大山
  • 张忠 3月前
    0 引用 32
    我问的问我的
  • 0 引用 33
    谢谢分享 。。。。。
  • 0 引用 34
    666666666666666666666666666
  • 0 引用 35
    网站频繁被挂马恶意跳转到H网站
  • job928 3月前
    0 引用 36
    寻求办法
  • laymen_a 3月前
    0 引用 37
    感谢分享!谢谢
  • xt2345 3月前
    0 引用 38
    666666666666666666
  • ww199210 3月前
    0 引用 39
    牛逼了,支持!
  • zioo 3月前
    0 引用 40
    是什么好办法。
  • seenmi 3月前
    0 引用 41
    失去信心了....
  • 0 引用 42
    谢谢 分享我昨天也呗挂马了
  • 0 引用 43
    感谢分享。
  • 玄天_ 3月前
    0 引用 44
    网站频繁被挂马恶意跳转到H网站?
  • heetv 3月前
    0 引用 45

    网站频繁被挂马恶意跳转到H网站
  • 0 引用 46
    这个得看清楚了!
  • 0 引用 47

    揪出木马直捣黑窝
  • 0 引用 48
    直接贴出他得站 一起干他
  • boh 3月前
    0 引用 49
    看看看看
  • 0 引用 50
    揪出木马直捣黑窝
  • cqwwwnet 3月前
    0 引用 51
    一磊遥和
  • 0 引用 52
    网站频繁被挂马恶意跳转到H网站
  • oy86866 3月前
    0 引用 53
    我看看~
  • q5241521 3月前
    0 引用 54

    网站被挂马后的异常表现
  • mrpyk 3月前
    0 引用 55
    顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶顶多的顶顶顶顶顶
  • msc 3月前
    0 引用 56
    哒哒哒哒哒哒多多多多多多多多
  • 0 引用 57
    什么方法?

  • 0 引用 58

    网站频繁被挂马恶意跳转到H网站
  • 0 引用 59
    学习下资料,一直没放心上
  • 随风 3月前
    0 引用 60
    看看!!!看看!!!
  • love0030 3月前
    0 引用 61
    学习一下,谢谢
  • 0 引用 62
    灰常感谢,非常有用
  • axiaode 3月前
    0 引用 63
    我不信回复啊 教程在能详细一点就好了,
  • ytxckj 3月前
    0 引用 64
    谢谢分享
  • fenzen 3月前
    0 引用 65
    本人亲测 设置好后就没有在被挂上木马
  • qkmy 3月前
    0 引用 66
    感谢分享。。。。
返回
发新帖