网站遭劫持了,被注入恶意代码,请教各位大佬如何清除并再次预防?

查看 47|回复 4
作者:black9   
前两天用户反馈移动端网页访问不正常,一查看发现,特定的路由会触发跳转到黄色广告地址。
如:
网址:https://www.网址.com/edu 在 pc 端正常访问,但在移动端就会被跳转到其他网站上。
如修改路由为/edu123也会跳转,修改为/ed则不会。初步判断关键字为edu。
进行排查:
[ol]
  • dns污染
    网站都是使用了https,排除
  • nginx
    通过查看日志以及转发记录,发现/edu 被转发到了 php-cgi ,排除
  • php
    在排查时在看见 v2 中有人遇到类似的问题,于是照着大佬的思路排查,结果发现每个站都被添加了一个 pass.php 文件。

    根据代码内容搜索,是用Godzilla生成的木马脚本。对网络安全这个块不太懂,有没有大佬知道怎么切底清除这个脚本带来的影响?
    [/ol]
    初步处理尝试:
    清除每个站点下的 pass.php 文件,以及相同时间被创建的一些文件。检查 php.ini 文件以及 so 文件是否被修改。没有发现可疑配置后,重启 php 服务再次访问。
    结果还是一样会跳转到其他网站。。。
    继续排查:
    查看 php 慢日志时,发现请求网页时有执行file_get_contents函数,于是循着文件路径查看,找到了罪魁祸首,项目composer下的autoload_real.php被植入了一行代码,删除掉后网址恢复正常。


    疑问请求:
    请问这是利用了 composer 的漏洞吗? composer 的版本是 2.3.7? 然后被植入 pass.php 的文件是不是宝塔的漏洞导致被上传的?因为我看到这些文件都是 www 宝塔用户上传的。
  • pikko   
    改密码,或者关闭外网访问后台
    不访问的时候关闭 22 端口
    cctv180   
    我比较菜,装了宝塔自动备份,翻车了直接恢复备份🤣,找人从织梦转到 PbootCMS 然后让搞了几次。后面把管理密码和入口换了就行。
    BeforeTooLate   
    1.先排查 ssh 是否设置了禁止 root 登录,和只用密钥登录
    2.下载到本地用第三方杀毒软件排查下是否包含一句话木马
    relsoul   
    明显是有漏洞,不解决 0day 很难,如果是用开源的程序 那就更新 version ,如果用的随便买来的源码 那就自求多福做代码审计。建议做 docker 隔离,不至于一个站点 g 了 其他关联网站全 g 了
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部