很多人都见过被马山快照劫持的网站,我也见过好几次。我曾经接管过一个企业网站。程序很简单。我是用dedecms写的,我对程序安全性不太了解。所以网站会直接上传到这个空间。因为代码本身的安全性很低,另外,同一服务器上的网站可能会受到攻击,或者服务器可能会受到攻击,导致我的网站受到牵连。而且,该网站至少挂了四五次,每次过几天就打开并弹出木马拦截提示。
每次挂网站时,有些页面都莫名其妙地跳出了脚本程序,因为源程序是我自己写的,所以很清楚哪些代码不是多出来的。上吊几次之后,我也慢慢发现了一些规律:
1、停滞不前的马的页面通常是读取数据库的页面;
2、通常,stalled horse的代码是一个JS脚本程序。当然,这只是一种情况,而且可能是其他形式的。它不能泛化,比如隐藏文本。
3、这些代码通常出现在页面的末尾,例如/HTML标记。一旦网站遇到快照劫持,个响应是通过系统检查网站代码。一旦发现可疑代码,将立即进行诊断和检测。通过查看源代码,我发现网站上有这么一段不同寻常的代码:
经过仔细分析,确认这段代码是黑客添加的,于是我迅速将其删除,使网站恢复正常。在此,我想提醒您,我们需要清除浏览器的历史记录,或按Ctrl+F5刷新浏览器,然后才能看到效果。我之所以想成为一个特别的提醒,是因为我遭受了损失。至于具体损失,你可以自己想象:我反复检查,没有发现问题。后,我意识到这是浏览器缓存。
至于如何快速找到黑客嵌入到攻击代码中的文件,让我们知道一个简单的方法是检查网站文件的修改时间,一些你没有接触过的修改时间文件,所以你可以在这里找到它们,单独下载这些其他文件,并用编辑器在全球搜索它们,这样我们就可以很容易找到代码中嵌入的特定文件。
如果及时发现并及时处理,变化不是很大,也不能确定网站受挂马影响的程度,还有待观察。只是,不是那种专门攻击其他网站挂马的人。更重要的是,他们悬挂或隐藏文本。他们不看源代码就找不到它。
