問：您好，網(wǎng)站再次被黑，如下圖，搜索：極速空間CPU天梯圖，點(diǎn)擊第一個(gè)鏈接后跳轉(zhuǎn)到非法網(wǎng)站，如下
在4月26日網(wǎng)站也出現(xiàn)過此情況，采取了如下手段恢復(fù)：1、清理木馬2、全站http到https3、用云鎖限制修改、上傳
今天早上發(fā)現(xiàn)再次跳轉(zhuǎn)，采取措施如下：經(jīng)過“守衛(wèi)神”掃描，報(bào)告有幾個(gè)頁面木馬（但看代碼應(yīng)屬于誤報(bào)）目前懷疑服務(wù)器中毒，原因是上次在服務(wù)器的home/web_los下發(fā)現(xiàn)一個(gè)1.txt，其中的一段源碼，正是跳轉(zhuǎn)的目標(biāo)網(wǎng)站。
麻煩幫忙查找原因，不勝感謝！,網(wǎng)站被黑，關(guān)鍵詞跳轉(zhuǎn)

答：您好，
核實(shí)只有id為411這篇文章才有跳轉(zhuǎn)代碼,其他文章正常,而從數(shù)據(jù)庫中也可以看到,該文章修改時(shí)間是2020/4/25 15:30:0,所以是以前修改的;
現(xiàn)在再次掃描目錄沒有發(fā)現(xiàn)后門文件,幫您清理了文章內(nèi)容中的js代碼,您把瀏覽器緩存清理下關(guān)閉后重新打開就不會跳轉(zhuǎn)了,非常感謝您長期對我司的支持!

問：您好1、是不是跳轉(zhuǎn)代碼寫入數(shù)據(jù)庫了呢？2、自己如何排查還有沒有其它文章被加了跳轉(zhuǎn)？3、這屬于SQL注入吧，應(yīng)該如何預(yù)防呢？麻煩指導(dǎo)一下，自己學(xué)兩招，以免有些小問題就來麻煩您

答：您好，1.是的, 上面已經(jīng)給您截圖了,黑客修改了id為411這篇文章, 在文章末尾加了代碼造成跳轉(zhuǎn)
          2.已經(jīng)幫您排查了,上面圖4,搜索了所有文章, 沒有這段代碼了
          3.這個(gè)不是sql注入,應(yīng)該是登陸了后臺或者直接通過泄漏的數(shù)據(jù)庫帳號密碼進(jìn)去單獨(dú)修改的這篇文章內(nèi)容
目前建議您把相關(guān)服務(wù)器密碼,數(shù)據(jù)庫密碼,網(wǎng)站后臺密碼都修改一次即可,非常感謝您長期對我司的支持!

問：您好，您的判斷非常準(zhǔn)確，在后臺發(fā)現(xiàn)：黑客在 19:01登陸后臺，修改了id為411文章，而且之前還刪除了操作日志。我可以肯定，修改日期一定是 19:01，因?yàn)槲覀冏罱诒O(jiān)控“關(guān)鍵詞劫持”，昨天白天并沒有跳轉(zhuǎn)。現(xiàn)在的疑惑是：您提示文章最后修改日期為2020/4/25 15:30:0，不知道這個(gè)哪里看呢？為什么和黑客修改日期不一致呢？
非常感謝

答：您好，當(dāng)時(shí)沒有完整截圖,下面還有一個(gè)字段uptime,也就是文章的更新時(shí)間記錄,在數(shù)據(jù)庫中是記錄的unix時(shí)間戳,轉(zhuǎn)換成正常時(shí)間就是2020/4/25 15:30:0,非常感謝您長期對我司的支持!

問：您好，發(fā)現(xiàn)黑客，還修改了不少文章：如百度：五大低性價(jià)比電腦配置（小白寶典） 搜索結(jié)果的第二項(xiàng)，點(diǎn)擊跳轉(zhuǎn)。他還修改了如下文章：有沒有辦法批量搜索刪除呢？懇請授人以漁

答：您好，通過wdcp中的phpmy進(jìn)入數(shù)據(jù)庫搜索,目前看確實(shí)還有15篇文章被加了代碼,上午可能搜索有誤沒搜到;
UPDATE `ecs_article`  SET `content` = REPLACE(`content`, \'<script language="Javascript">
通過執(zhí)行這樣的sql語句已經(jīng)幫您批量刪除了跳轉(zhuǎn)代碼,非常感謝您長期對我司的支持!

問：您好，麻煩再問問，1、云鎖的網(wǎng)站防護(hù)日志是放在服務(wù)器哪個(gè)文件呢？2、網(wǎng)站防護(hù)日志能否查詢最近幾天的？啟用了云鎖的“防篡改”后，網(wǎng)站防護(hù)日志只能看到當(dāng)天的了，而系統(tǒng)防護(hù)日志，幾天就有10多萬條，好像正常訪問都計(jì)入日志了承蒙解惑，不勝感謝~

答：您好，
   云鎖軟件非我司開發(fā)，查詢?nèi)罩驹?nbsp;附圖查詢 ，可以選擇查詢?nèi)掌?，
開啟了防篡改后訪問訪問篡改的文件會計(jì)入日志，
非常感謝您長期對我司的支持,謝謝！

問：您好，這個(gè)日志是保存在云鎖公司的服務(wù)器上吧？現(xiàn)在查詢系統(tǒng)防護(hù)日志，無論輸入哪個(gè)時(shí)間，都只能看到當(dāng)天的日志，不知道是否設(shè)置問題

答：您好，
非常抱歉，因云鎖并非我司開發(fā)軟件，其內(nèi)部構(gòu)架設(shè)置我司也不是很清楚，一般此類日志是存在云鎖安裝的服務(wù)器上，或者有可能是云鎖內(nèi)部功能，直接實(shí)現(xiàn)的臨時(shí)統(tǒng)計(jì)的服務(wù)器系統(tǒng)內(nèi)部日志。而日志記錄時(shí)間這些，其一般是記錄當(dāng)前有出現(xiàn)過攻擊等的日志，如沒有攻擊其就沒有日志,非常感謝您長期對我司的支持!

問：您好，最近持續(xù)發(fā)現(xiàn)有人試圖上傳木馬和刪除行為但云鎖并沒有顯示該行為的來源IP，由于知道該行為的訪問具體時(shí)間（可精確到秒），能否通過網(wǎng)站日志查看該行為的來源IP呢？如果可以，麻煩告知下載日志的方法。非常感謝！

答：您好，登陸wdcp開啟網(wǎng)站日志，然后您可以對比云鎖記錄的時(shí)間分析日志查看是否有異常。





猜你還會喜歡下面的內(nèi)容

• 強(qiáng)制https網(wǎng)站無法打開
• 更改服務(wù)器登陸密碼失敗-云服務(wù)器問題
• 服務(wù)器IP多地屏蔽-云服務(wù)器問題
• 幫掛載一下磁盤-云服務(wù)器問題
• 昨天重裝升級到2012的系統(tǒng) 昨晚又中勒索病毒了
• 升級到云主機(jī)后網(wǎng)站打不開了
• 80端口無法打開-云服務(wù)器問題
• 我問一下，我在上可以裝虛擬機(jī)么
• cc防護(hù)無法查看日志-云服務(wù)器問題
• 服務(wù)器響應(yīng)慢-云服務(wù)器問題
• sql數(shù)據(jù)庫服務(wù)管理器無法打開
• 為什么啟動程序一會就掛了
• 網(wǎng)站發(fā)布出現(xiàn)問題 -云服務(wù)器問題
• webar是否需要開啟那些web配置？
• 服務(wù)器因受到DDOS攻擊，現(xiàn)在已經(jīng)購買了高防服務(wù)了，但是服務(wù)
• 網(wǎng)站后臺打開沒有內(nèi)容了，查看數(shù)據(jù)庫也空了，是什么原因呢，還能

熱門標(biāo)簽

其他問題云服務(wù)器問題域名及賬戶問題企業(yè)郵局市場咨詢云服務(wù)器云建站/云站群/小程序虛擬主機(jī)網(wǎng)絡(luò)知識企業(yè)郵箱域名注冊域名備案域名商標(biāo)注冊云主機(jī)更多標(biāo)簽...

大家感興趣的內(nèi)容