网站被劫持怎么处理,防止网站被劫持方法

【网站被劫持怎么处理,防止网站被劫持方法】临近2019年底,网站安全事件频发,攻击者加大了对网站的攻击力度 。他们一定是在准备过年的压岁钱,发大财过个好年 。就在最近,一个客户的网站被入侵,主页代码被篡改,网站直接从搜索引擎跳转到蔡//飘网站 。通过朋友介绍,找到我们提供网站安全服务,防止网站被攻击,恢复网站正常访问 。关于这次安全事件的应急处理,以及如何做好网站安全加固,我们以文章的形式记录下来 。
2019年12月18日晚上10点,我刚准备收拾东西下班,就接到客户电话,说公司网站被入侵了 。网站首页代码的标题、描述、关键词都被篡改成了加密字符 。我从百度点进去,直接到了菜菜//飘和菠菜的网站 。在听到客户对这些网站被攻击的描述后,我可以肯定网站被攻击并劫持到了菜菜/ 。
网站采用windows2012系统,thinkphp开发,php+mysql架构,使用IIS作为网站运行环境,网站入侵、服务器攻击、代码篡改、网站劫持、跳转等 。我们处理了十几年,第一反应就是客户的服务器被黑了,可能被赋予了添加管理员账号的权限,或者被植入了后门,导致网站一直被攻击 。一般我们都知道问题 。接下来需要登录服务器进行详细的安全检测,包括网站代码安全检测和网站漏洞检测、网站木马后门清除等一系列相关的安全服务 。
登录到服务器 。我们发现服务器被植入了木马后门,写在系统文件里,并钩入启动服务 。无论服务器如何重启,攻击者植入的木马后门文件仍然会被执行 。我们马上清除了后门,对服务器的端口做了安全策略,限制站内外端口的访问,只开放80,对远程端口做了IP白名单安全限制 。接下来,最重要的安全问题是客户的网站不断跳转,从百度点击会不断跳转,包括APP端同样的攻击症状 。我们检查了主页代码,发现代码被篡改了 。截图如下
在百度搜索网站,网站的快照会被百度网站安全中心提醒网站可能被黑客攻击,部分页面已经被非法篡改!我们客户的网站还是做百度推广,导致流量不断下降,亏损较大 。我们删除了主页代码被篡改的内容,恢复了正常的网站访问,但是问题并没有我们想象的那么简单 。删了代码之后,跳转的问题依旧,依然没有解决 。根据我们多年的安全经验,IIS肯定是被劫持了,也就是说IIS的配置文件可能被攻击者篡改了 。检查服务器的IIS配置文件,检查处理程序映射函数是否被植入恶意DLL文件,仔细看,没有发现问题 。继续跟踪安全分析,也查了web.config,没有发现URL伪静态规则 。看来攻击者还是有些技术手段的,所以无所谓 。由于问题是在IIS中确定的,因此必须将其写入该配置文件 。我们马上检查了模块的功能,发现了问题,植入了恶意的DLL文件,导致模块被应用到IIS8.0,找到了问题的根源,处理起来就比较容易了 。随即,该模块被清除,iisreset命令重启IIS环境,网站入侵和跳转的问题没有了 。
接下来,我们开始对客户的网站进行安全加固,仔细检查网站的漏洞和木马后门,对thinkphp的每个文件代码进行详细的人工安全审计 。发现thinkphp存在远程代码执行漏洞,导致攻击者直接执行该漏洞生成网站木马后门文件,又称webshell 。我们在公共目录里发现了一个木马后门,也叫PHP小马 。我们删除了它并修复了客户网站的漏洞,这样客户的网站
有客户认为删除首页的跳转代码就可以解决问题,但是过几天网站又被攻击了 。根本原因在于网站漏洞未被修复,网站存在webshell木马后门文件 。只有真正从根源入手,才能防止网站被攻击 。如果对代码不太了解,建议找专业的网站安全公司处理 。网站安全也会给客户带来双赢 。你能帮助客户走多远,你就能走得更远 。


    推荐阅读