最近接到一個客戶的反饋�,說是自己的網(wǎng)站通過域名訪問可以正常打開網(wǎng)站����,通過百度搜索出來的結(jié)果點擊進去就會跳轉(zhuǎn)到一個非法賭博網(wǎng)站��?�?蛻舨]有在網(wǎng)站后臺和網(wǎng)站服務(wù)器上建立302跳轉(zhuǎn)功能��,起初我也很納悶�����,認為這是百度方面BUG�����。最后平靜地思考了一下就開始對客戶網(wǎng)站進行成因分析���,最終找出了緣由�。
01 網(wǎng)站源碼分析
基本上遇到這種問題,都可以通過瀏覽器自帶的開發(fā)者工具(F12)找到緣由����,通過查看客戶網(wǎng)站的網(wǎng)站源碼發(fā)現(xiàn)在網(wǎng)站頭部有一段可疑的javascript代碼,并且網(wǎng)站的標(biāo)題還通過Unicode編碼了�,通過Unicode解碼發(fā)現(xiàn)網(wǎng)站標(biāo)題就是非法賭博網(wǎng)站的標(biāo)題;這一征兆從表面上看一定是網(wǎng)站遭到惡意篡改了��。
02 發(fā)現(xiàn)后門文件
根據(jù)上述的特征�����,極有可能網(wǎng)站是被掛馬/后門之類的非法入侵��,導(dǎo)致網(wǎng)站被篡改�����。后來經(jīng)過查看客戶的云虛擬主機目錄下有一個可疑的asp文件��,經(jīng)過查看這個asp文件的代碼發(fā)現(xiàn)就是經(jīng)典的“一句話木馬”��。通過這個木馬攻擊者可以遠程執(zhí)行代碼��,并且還能進行提權(quán)操作����。查看到這里基本上是可以確定該網(wǎng)站是被非法上傳了一個ASP木馬文件,攻擊者通過這個木馬可以輕松地操作虛擬主機內(nèi)文件并且篡改�����。
03 怎樣避免網(wǎng)站被掛馬
大家在搭建網(wǎng)站的時候��, 最好不要下載來路不明的建站系統(tǒng)源碼�����。
如果是企業(yè)建站最好是選用知名度比較高的建站系統(tǒng)���,例如百度智能建站����、米拓建站系統(tǒng)���。
建站系統(tǒng)后臺如果有限制文件上傳的功能����,一定要把.asp .php后綴名的文件做限制上傳。
后臺賬號密碼切勿使用初始的賬號密碼��,如:admin admin這種���。
蘇公網(wǎng)安備32058302003559 
