400-915-1135
详细

.htaccess伪静态方式攻击网站导致搜索引擎进入网站跳转非法内容的新型网站挂马方式的解决方案

发表日期:2021-07-31 17:44:36   作者来源:超级管理员   浏览:0

1627724752584221.jpg


今天运维技术例行对客户网站进行定期安全检查的时候发现,在搜索引擎上点击进入网站会跳转非法网站(如上图 收录内容也不对,但是这种方式的攻击可能快照也是对的,但进入后跳转),技术小哥听后马上检测看看是不有页面篡改,一般此类攻击的网站头部会出现如下内容


微信图片_20210731175940.jpg

于是小可查看网站发现没有 如下图,干净净,于是想是不是.js文件 问题,在web根目录下  新建index.html纯静态文件,并且去除所有.js和javascript脚本,再测试发现依然会跳转,太奇怪了,到了这个程序猜测是不是web服务程序出了问题了,服务器装的是宝塔面板,对服务原理也不是很清楚就不查了,直接转到另一服务器测试,结果发现问题依旧,这太奇怪了


目前排除了 js问题,排除了页头篡改,排除了web服务程序问题,也还有啥问题呢?


想了好久真是没想通,突然看到了 目录下的 .htaccess  文件 立即打开发现了如下问题



原来攻击者用了伪静态技术来写了判断来源规则,如果是搜索引擎过来的 就跳转指定网址


删除该静态规则问题解决,至此清除工作告一段落,

处理了问题也要想想为什么会被篡改该.htaccess文件 , 

解决可能再次被入侵的方案

经过分析,该攻击可能是因为服务器ssh权限泄露或是宝塔面板信息泄露或是网站后台泄露,也可能是其它漏洞泄露

经过全部密码修改,并检测日志发现泄露的可能性大

到此结束该次网站入侵检查修复


本文章多为网络内容整理而来,如有侵犯您的权益,请联系我们免费删除