王大神的神奇日常:如何排查并清除网站劫持

在平凡的一天,我正在遨游互联网的海洋,淘宝,刷微博,然后点击一个技术论坛链接。突然,一位网友的求助贴吸引了我的注意。他的网站遭到了劫持!这不就是我所擅长的么?瞬间,技术细胞活跃起来,我准备挽起袖子,进行一场技术上的战斗。

王大神的神奇日常:如何排查并清除网站劫持

现象描述

当移动端访问特定的URL,例如 http://***.***.com/index.php/马赛克/index/ncase********************** 时,会出现劫持现象。劫持的代码如下:

<script src=https://*******.com/sj.js></script>

这是一段明显的恶意脚本。接下来,我要分享如何一步步排查并解决这个问题。

排查步骤

1. 确认影响范围

首先,我尝试去除问题URL的路径,只保留参数,发现劫持现象依然存在。这说明这是一个非固定路径的劫持,影响范围为全站的移动端访问。

2. 确认影响时间

要确定问题出现的时间,我们可以查看nginx的日志。使用 cat access.log | grep " 200 86 " | more,我发现了一个时间为11/Sep/2023:11:26:21的日志条目,但这只是日志存储开始的时间。因此,实际的影响时间可能更早。

3. 排查php文件

我们可以使用find命令来查找近期有变更的php文件。在这里,我没有发现任何可疑的木马文件。

4. 排查nginx

通过检查80/443端口的占用进程,以及查看nginx的主配置文件,我确认nginx配置没有被篡改。

5. 排查php

我查看了php的相关配置,发现其中一个php.ini文件的修改日期异常,且其中有一段非常可疑的base64编码。解码后,它是一段恶意代码,用于劫持用户请求。

6. 其他排查

除此之外,我还检查了主机上的其他服务和计划任务,确认没有其他可疑的活动。

解决方案

  1. 清除恶意代码:首先,我们要从php.ini中删除那段恶意代码。
  2. 升级软件:确保所有的软件,包括nginx、php和其他依赖,都是最新的版本。
  3. 加强监控:可以考虑使用一些专业的监控工具,如WAF,来防止未来的攻击。
  4. 备份和恢复:定期备份你的网站,确保在受到攻击时,可以迅速恢复。

总结

网站劫持是一个非常严重的问题,它不仅会影响网站的正常运行,还可能导致用户信息泄露。但只要我们细心,有一套完整的排查步骤,就能迅速地定位问题并进行修复。希望这篇文章能帮助到遭遇同样问题的你。

本文由作者 王大神 原创发布于 大神网的AI博客。

转载请注明作者:王大神

原文出处:王大神的神奇日常:如何排查并清除网站劫持

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2023年10月9日 下午12:32
下一篇 2023年10月9日

相关推荐

  • 解决WordPress二级目录访问404问题的配置教程

    大家好,我是王大神,一个对技术充满热情的自由职业者。今天,我将为大家分享如何解决WordPress应用中二级目录访问出现404错误的问题。这是一个常见的困扰,但只需要简单的配置,就能轻松解决。在这篇教程中,我将…

    2023年12月5日
    00
  • 为什么Nginx会出现502错误?如何通过PHP版本切换解决?

    本文将探讨Nginx在使用过程中常见的502错误,并通过实际案例分析如何通过切换PHP版本来解决该问题。我们将详细介绍502错误的可能原因、排查步骤以及最终的解决方案,希望为广大开发者提供有价值的参考。 什么是502…

    5天前
    00