网站挂马新招数,网站会跳转到非法网站,普通人难以发现
最近接到一个客户的反馈,说是自己的网站通过域名访问可以正常打开网站,通过百度搜索出来的结果点击进去就会跳转到一个非法赌博网站。客户并没有在网站后台和网站服务器上建立302跳转功能,起初我也很纳闷,认为这是百度方面BUG。最后平静地思考了一下就开始对客户网站进行成因分析,最终找出了缘由。
01网站源码分析
基本上遇到这种问题,都可以通过浏览器自带的开发者工具(F12)找到缘由,通过查看客户网站的网站源码发现在网站头部有一段可疑的javascript代码,并且网站的标题还通过Unicode编码了,通过Unicode解码发现网站标题就是非法赌博网站的标题;这一征兆从表面上看一定是网站遭到恶意篡改了。
网站源码中的可疑javascript代码
Unicode解码后的网站标题
02发现后门文件
根据上述的特征,极有可能网站是被挂马/后门之类的非法入侵,导致网站被篡改。后来经过查看客户的云虚拟主机目录下有一个可疑的asp文件,经过查看这个asp文件的代码发现就是经典的“一句话木马”。通过这个木马攻击者可以远程执行代码,并且还能进行提权操作。查看到这里基本上是可以确定该网站是被非法上传了一个ASP木马文件,攻击者通过这个木马可以轻松地操作虚拟主机内文件并且篡改。
可疑ASP文件
可疑asp文件中的代码
03怎样避免网站被挂马
大家在搭建网站的时候, 最好不要下载来路不明的建站系统源码。
如果是企业建站最好是选用知名度比较高的建站系统,例如百度智能建站、米拓建站系统。
建站系统后台如果有限制文件上传的功能,一定要把.asp .php后缀名的文件做限制上传。
后台账号密码切勿使用初始的账号密码,如:admin admin这种。
如果小伙伴们还有其他避免网站挂马的方法,欢迎评论区留言,一起探讨探讨