今天,我收到了一个朋友说网站被攻击了的网站。 我打开了网站,但是在浏览器中可以正常看到所有的网页。 当我看到源代码时,我发现了问题。 修改了网站的标题、说明和关键字。 在这里记录处理的过程。
1 .查看网站的程序
网站的程序是织梦系统。 因为这是一个织梦系统的网站。 首页有静态访问和动态访问两种。 这个网站是动态访问的。 然后检查了首页文件index.php和模板文件,发现这两个没有问题。 平时经常遇到的是生成静态的首页,这个首页有问题,其他页面正常。 这个问题,好像不是这里。
2 .查看最近修改的文件
因为程序是php的,所以我找了一下,是最近修改过的php文件。
#查找最近7天内添加或修改的php文件
find . -name '*.php' -mtime -7
找到/a/about.html之后的php文件
find.- name ' *.PHP '-cnewer/a/about.html
因为织梦程序会生成静态文件,所以有些程序通常一页只生成一次。 查找生成时间比此文件慢的文件。 在文件搜索中发现了可疑的文件
./kosys.php
./data/safe/inc_safe_config.php
./data/config.cache.inc.php
./data/cache/list cache/90/5b/E5/905 be 555 f4a 9373271835 a 249545 dad8. PHP
./data/cache/membe rlogin/C4/ca/42/c4ca 4238 a0b 923820 DCC 509 a6f 75849 b.PHP
./data/enums/vocation.php
.
./index.php
./static/m/view.php
./static/m/index.php
./static/m/list.php
./dils.php
因为文件也很少,所以我一一看了一下,如果是恶意的文件,就直接删除。 恶意文件通常包含base64_decode和编码的大写字符。 经过以上处理,再次打开更新时,网站恢复正常。
调查网站被攻击的原因
首先需要确定被攻击的时间。 删除恶意文件kosys.php时看到的生成文件的时间。 然后,获得了这段时间web服务器的访问日志。 发现当天多次登陆。 我问朋友密码是多少,他说是12345678,他说密码是12345678。 之后,查看post提交的相关日志,发现多次访问了此文件dede/file_manage_control.php。 但是,网站很久没有更新了。 一定是上传了恶意的文件。 由此找到原因网站推测用户名和密码后,上传了恶意文件。