今天运维技术例行对客户网站进行定期安全检查的时候发现,在搜索引擎上点击进入网站会跳转非法网站(如上图 收录内容也不对,但是这种方式的攻击可能快照也是对的,但进入后跳转),技术小哥听后马上检测看看是不有页面篡改,一般此类攻击的网站头部会出现如下内容
于是小可查看网站发现没有 如下图,干净净,于是想是不是.js文件 问题,在web根目录下 新建index.html纯静态文件,并且去除所有.js和javascript脚本,再测试发现依然会跳转,太奇怪了,到了这个程序猜测是不是web服务程序出了问题了,服务器装的是宝塔面板,对服务原理也不是很清楚就不查了,直接转到另一服务器测试,结果发现问题依旧,这太奇怪了
目前排除了 js问题,排除了页头篡改,排除了web服务程序问题,也还有啥问题呢?
想了好久真是没想通,突然看到了 目录下的 .htaccess 文件 立即打开发现了如下问题
原来攻击者用了伪静态技术来写了判断来源规则,如果是搜索引擎过来的 就跳转指定网址
删除该静态规则问题解决,至此清除工作告一段落,
处理了问题也要想想为什么会被篡改该.htaccess文件 ,
经过分析,该攻击可能是因为服务器ssh权限泄露或是宝塔面板信息泄露或是网站后台泄露,也可能是其它漏洞泄露
经过全部密码修改,并检测日志发现泄露的可能性大
到此结束该次网站入侵检查修复