國慶假日期間我們Sine安全接到眾多網(wǎng)站站長求助網(wǎng)站標題被改導致在百度搜索中百度安全中心提醒被攔截,導致網(wǎng)站正常用戶無法瀏覽網(wǎng)站被跳轉到一些菠菜du博網(wǎng)站,而且很明顯的一個特征就是在百度中搜索關鍵詞的網(wǎng)站快照標題被修改成了一些與網(wǎng)站本身內(nèi)容不相關的頁面,而且發(fā)現(xiàn)網(wǎng)站首頁文件如index.php或index.html被增加了一些可疑的加密代碼。
上述圖片中所顯示的就是標題被修改所收錄的快照頁面并被百度網(wǎng)址安全中心提醒該頁面可能存在違法信息!對此我們Sine安全立即安排了網(wǎng)站安全審計部門進行深入的網(wǎng)站程序代碼安全審計以及網(wǎng)站漏洞檢測和木馬后門的清理,發(fā)現(xiàn)此客戶網(wǎng)站用的是開源php+mysql架構的織夢系統(tǒng)dedecms如圖:
而且這種網(wǎng)站標題title被修改并被跳轉到一些du博娛樂網(wǎng)站的問題是反復性質(zhì)的被修改,而且國慶期間的手法也相當超出以前被黑客篡改的手法,是根據(jù)地區(qū)性質(zhì)的屏蔽,比如你網(wǎng)站負責人地址是福建的那么代碼里就對福建地區(qū)的IP直接跳轉到?jīng)]有被修改的頁面地址,讓你無法察覺!實在是道高一尺魔高一丈,如果不是專業(yè)做網(wǎng)站安全的工程師是無法發(fā)現(xiàn)的!那么我就把代碼公布一下截圖:
福建地區(qū)的IP直接被跳轉到indax.php也就是程序文件沒被篡改過的地址!讓你無法察覺網(wǎng)站有任何異樣,只有除了福建地區(qū)的用戶訪問網(wǎng)站才會被跳轉到加密代碼里的du博娛樂網(wǎng)站,對此我們sine安全審計部門的技術人員對該客戶的網(wǎng)站進行了詳細的代碼安全審計后發(fā)現(xiàn)網(wǎng)站目錄里存在8個腳本木馬后門,其中隱蔽性質(zhì)的木馬后門就有2個,繞過了所有市面上的殺毒軟件,隱蔽的腳本小馬代碼如下:
很多站長發(fā)現(xiàn)首頁文件被修改后,第一反應就是清除加密代碼,或上傳備份文件覆蓋,但這不是最好的解決辦法,因為你清除這些加密跳轉的代碼后沒過多久就又被修改了!而且還是反復性質(zhì)的,基本都是在凌晨被修改,而且很多網(wǎng)站標題被改的網(wǎng)站都是一些企業(yè)網(wǎng)站,而且都是想先清理這個加密代碼然后跟領導匯報這個情況,這樣只能解決當時情況恢復正常訪問,但是沒過多久就又被修改了!建議各位站長和企業(yè)網(wǎng)站負責人找專門做網(wǎng)站安全的公司來處理此情況。
網(wǎng)站標題被修改的解決辦法
首先找到首頁文件如index.php或index.html或index.htm或index.asp找到文件內(nèi)容頂部加密的字符串刪除掉,如果怕刪除錯誤可以先找下備份文件進行覆蓋,然后對網(wǎng)站的后臺目錄進行更改不要用默認的名稱如admin或dede或guanli等名稱,對后臺管理員的密碼進行修改,把密碼加強到12到16位,防止被sql注入爆出md5值,把上傳圖片的目錄設置取消腳本權限,對上傳文件的程序代碼進行過濾加強上傳擴展名的防范,如果對程序代碼不熟悉的話,建議找專業(yè)做網(wǎng)站安全的公司來處理。
本文來源www.sinesafe.com供稿!
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!