2022年百度自然排名受到很大的影響，但作為站長每天忙碌的就是發(fā)文章做優(yōu)化，讓網(wǎng)站有更好的排名從而帶來許多客戶，但近網(wǎng)站總是中毒信息被篡改，導(dǎo)致快照內(nèi)容被篡改，網(wǎng)站目錄下的頁文件總是被反復(fù)篡改，說到這里，很多做站長的特別能理解網(wǎng)站中毒后帶來的損失，輕則排名下降，重則降權(quán)，那么由網(wǎng)站漏洞修復(fù)的SINE安全技術(shù)為大家詳細(xì)介紹。
③手動檢查網(wǎng)站文件，尤其是高權(quán)重頁面，重要的就是首頁。右鍵查看網(wǎng)站源代碼，先備份文件，在黑鏈。查看ftp文件的日子，根據(jù)時間查找黑鏈，找到即可。

網(wǎng)站被黑，通常是因為網(wǎng)站存在漏洞，才會出現(xiàn)這種狀況。網(wǎng)站被黑掉后，會在網(wǎng)站上添加很多垃圾的鏈接和頁面。這些頁面和鏈接里有可能就會有一些網(wǎng)絡(luò)包。一旦這些包被網(wǎng)站的用戶點擊就會直接導(dǎo)致用戶電腦中毒。一旦發(fā)現(xiàn)入侵時，大家應(yīng)該時間，這些垃圾頁面和鏈接，盡快修補(bǔ)漏洞，加強(qiáng)網(wǎng)絡(luò)安全防御，減少損失會更好些。

一.被黑的狀況分析
1.客戶的采用的是，織夢DEDECMS系統(tǒng)（PHP+MYSQL數(shù)據(jù)庫架構(gòu)）,dedecms漏洞在近幾年實在是爆出了太多,但是現(xiàn)在用dedecms做以及平臺的也很多,一般企業(yè)站或做優(yōu)化排名的都是用這個織夢的程序來做,優(yōu)化快,訪問速度也快,全站可以靜態(tài)文件生成，方便管理更新文章，
也方便打開的速度，以及關(guān)鍵詞方面的優(yōu)化與提升。通過與客戶的溝通了解，發(fā)現(xiàn)客戶的，只要是發(fā)布新的文章，并在后臺生成新的html頁面，或者生成首頁index.html,就會被攻擊者直接增加了一些加密的代碼與dubo的內(nèi)容,圖片如下：
被篡改的內(nèi)容都是加了一些與不相關(guān)的內(nèi)容,而且這個代碼還做了JS判斷跳轉(zhuǎn)，針對于Baidu搜索來的客戶，會直接跳轉(zhuǎn)到這個垃圾頁面，導(dǎo)致360提示,百度提示風(fēng)險的圖片如下：
在百度的搜索中會直接風(fēng)險提示：百度網(wǎng)址安全中心提醒你：該頁面可能存在木馬病毒。通過對客戶的所有代碼的安全檢測與代碼的人工安全審計，發(fā)現(xiàn)首頁index.html中的內(nèi)容被篡改，并發(fā)現(xiàn)在dedecms模板目錄文件下的index.htm文件也被篡改了。
我們來打開index.htm模板文件，看下代碼：
下面的這一段代碼是加密的JS跳轉(zhuǎn)代碼，是根據(jù)百度搜索等相應(yīng)的條件，進(jìn)行判斷，然后跳轉(zhuǎn)，直接輸入域名不會跳轉(zhuǎn)。
上面查到一些加密的代碼，用編碼的解密查到，是一些bocai相關(guān)的內(nèi)容，我們把生成首頁后被篡改的內(nèi)容直接掉，然后對其里留存下來的木馬病毒，以及木馬后門進(jìn)行清除，并做好的漏洞檢測與漏洞修復(fù)，部署防篡改方案。
二.被黑的清理過程記錄
1.經(jīng)過SINE安全技術(shù)的安全審計后，在安全的處理過程中發(fā)現(xiàn)根目錄下的datas.php文件內(nèi)容屬于assert類型的一句話木馬。那么既然發(fā)現(xiàn)有一句話木馬，那肯定是存在PHP腳本木馬的，隨即發(fā)現(xiàn)在css目錄下有個文件是base64加密的代碼,我們訪問該木馬地址，進(jìn)行了訪問發(fā)現(xiàn)的確是木馬病毒的，所在圖片如下：
該P(yáng)HP腳本木馬的操作權(quán)限實在是太大了,對文件的編輯以及改名，以及執(zhí)行惡意的sql語句，查看服務(wù)器的系統(tǒng)信息都可以看的很清楚.對的所有程序代碼，進(jìn)行了木馬特征掃描，發(fā)現(xiàn)了N個木馬文件,怪不得客戶自己說反反復(fù)復(fù)的出現(xiàn)被黑，被篡改的都快要了。掃描到的木馬病毒如下圖所示：
這么多個腳本木馬后門，我們安全技術(shù)直接進(jìn)行了全部清理,由于客戶用的是單的服務(wù)器。那么對服務(wù)器的安全也要進(jìn)行詳細(xì)的安全加固和安全防護(hù),查看到的mysql數(shù)據(jù)庫，分配給使用的是root權(quán)限，（用root管理員權(quán)限會導(dǎo)致整個服務(wù)器都會被黑，增加了攻擊風(fēng)險）我們給客戶服務(wù)器增加了一個普通權(quán)限的數(shù)據(jù)庫賬戶分配給，數(shù)據(jù)庫的端口3306以及135端口445端口139端口都進(jìn)行了端口安全策略部署，杜絕外網(wǎng)一切連接，只允許內(nèi)網(wǎng)連接，對服務(wù)器進(jìn)行了詳細(xì)的服務(wù)器安全設(shè)置和部署，后續(xù)我們對的所有文件，代碼，圖片，數(shù)據(jù)庫里的內(nèi)容，進(jìn)行了詳細(xì)的安全檢測與對比，從SQL注入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網(wǎng)頁掛馬、網(wǎng)頁后門木馬檢測、包括一句話小馬、aspx大馬、腳本木馬后門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進(jìn)行了全面的安全檢測，與漏洞修復(fù)，至此客戶被黑的問題才得以的解決。因為之前客戶都是平均被篡改兩三次，從做署到今天20號，客戶訪問一切正常，沒有被篡改。
三.針對于被黑的防護(hù)建議
1.定期的更新服務(wù)器系統(tǒng)漏洞（windows 2008 2012、linux centos系統(tǒng)），系統(tǒng)升級，盡量不適用第三方的API插件代碼。
2.如果自己對程序代碼不是太了解的話，建議找安全公司去修復(fù)的漏洞，以及代碼的安全檢測與木馬后門清除，國內(nèi)推薦SINE安全公司、綠盟安全公司、啟明星辰等的安全公司，做深入的安全服務(wù),來**的安全穩(wěn)定運(yùn)行，防止被掛馬之類的安全問題。
3.盡量不要把的后臺用戶的密碼設(shè)置的太簡單化,要符合10到18位的大小寫字母+數(shù)字+符號組合。
4.后臺管理的路徑一定不能用默認(rèn)的admin或guanli或manage 或文件名為admin.asp的路徑去訪問。
5.服務(wù)器的基礎(chǔ)安全設(shè)置必須要詳細(xì)的做好,端口的安全策略，注冊表安全，底層系統(tǒng)的安全加固，否則服務(wù)器不安全,再安全也沒用。

②如果沒有備份文件，進(jìn)入百度站長平臺，選擇被掛上黑鏈的網(wǎng)站列表：優(yōu)化與維護(hù)，進(jìn)行鏈接分析，當(dāng)系統(tǒng)檢測外鏈顯示外鏈列表，發(fā)現(xiàn)可疑外鏈先在鏈接后面進(jìn)行操作，然后在網(wǎng)站頁面直接黑鏈接。
要時刻保持備份，一旦發(fā)生中毒網(wǎng)站文件被篡改的問題直接先恢復(fù)備份，恢復(fù)正常訪問，以免遭到降權(quán)，要檢查近修改的文件，以及網(wǎng)站后臺登錄記錄看看有無可疑的IP，如果是單服務(wù)器的話，要檢查服務(wù)器中的所有網(wǎng)站看看可疑的腳本文件，檢查附件目錄有無腳本后綴的文件，也可以對訪問日志進(jìn)行溯源，就會查到蛛絲馬跡，主要的一點就是對程序代碼進(jìn)行安全審計，進(jìn)行網(wǎng)站漏洞修復(fù)，因為如果你光靠恢復(fù)備份來解決問題的話是治標(biāo)不治本的，因為漏洞是存在的，要找到問題的根本，如果對代碼不熟悉的話可以向網(wǎng)站漏洞修復(fù)公司尋求幫助，像SINESAFE，鷹盾安全，啟明星辰等都是對網(wǎng)站漏洞修復(fù)有著數(shù)十年的實戰(zhàn)安全防護(hù)經(jīng)驗。
http://www.xh798.com