國慶假日期間我們Sine安全接到衆多網站站長求助網站标題被改導緻在百度搜尋中百度安全中心提醒被攔截,導緻網站正常使用者無法浏覽網站被跳轉到一些菠菜du博網站,而且很明顯的一個特征就是在百度中搜尋關鍵詞的網站快照标題被修改成了一些與網站本身内容不相關的頁面,而且發現網站首頁檔案如index.php或index.html被增加了一些可疑的加密代碼。
上述圖檔中所顯示的就是标題被修改所收錄的快照頁面并被百度網址安全中心提醒該頁面可能存在違法資訊!對此我們Sine安全立即安排了網站安全審計部門進行深入的網站程式代碼安全審計以及網站漏洞檢測和木馬後門的清理,發現此客戶網站用的是開源php+mysql架構的織夢系統dedecms如圖:
而且這種網站标題title被修改并被跳轉到一些du博娛樂網站的問題是反複性質的被修改,而且國慶期間的手法也相當超出以前被黑客篡改的手法,是根據地區性質的屏蔽,比如你網站負責人位址是福建的那麼代碼裡就對福建地區的IP直接跳轉到沒有被修改的頁面位址,讓你無法察覺!實在是道高一尺魔高一丈,如果不是專業做網站安全的工程師是無法發現的!那麼我就把代碼公布一下截圖:
福建地區的IP直接被跳轉到indax.php也就是程式檔案沒被篡改過的位址!讓你無法察覺網站有任何異樣,隻有除了福建地區的使用者通路網站才會被跳轉到加密代碼裡的du博娛樂網站,對此我們sine安全審計部門的技術人員對該客戶的網站進行了詳細的代碼安全審計後發現網站目錄裡存在8個腳本木馬後門,其中隐蔽性質的木馬後門就有2個,繞過了所有市面上的防毒軟體,隐蔽的腳本小馬代碼如下:
很多站長發現首頁檔案被修改後,第一反應就是清除加密代碼,或上傳備份檔案覆寫,但這不是最好的解決辦法,因為你清除這些加密跳轉的代碼後沒過多久就又被修改了!而且還是反複性質的,基本都是在淩晨被修改,而且很多網站标題被改的網站都是一些企業網站,而且都是想先清理這個加密代碼然後跟上司彙報這個情況,這樣隻能解決當時情況恢複正常通路,但是沒過多久就又被修改了!建議各位站長和企業網站負責人找專門做網站安全的公司來處理此情況。
網站标題被修改的解決辦法
首先找到首頁檔案如index.php或index.html或index.htm或index.asp找到檔案内容頂部加密的字元串删除掉,如果怕删除錯誤可以先找下備份檔案進行覆寫,然後對網站的背景目錄進行更改不要用預設的名稱如admin或dede或guanli等名稱,對背景管理者的密碼進行修改,把密碼加強到12到16位,防止被sql注入爆出md5值,把上傳圖檔的目錄設定取消腳本權限,對上傳檔案的程式代碼進行過濾加強上傳擴充名的防範,如果對程式代碼不熟悉的話,建議找專業做網站安全的公司來處理,國内推薦Sinesafe,以及綠盟,啟蒙星辰等網站安全公司來處理。