有病毒的网站-蓝科lankecms网站源码漏洞导致被批量篡改首页文件
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,有病毒的网站导致从百度点击进来的直接跳转到世界杯体育网站上去,并且百度快照录入的标题也被篡改了,经过客户的叙说,发现此源码是用tp架构二次开发的,其间源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混杂加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的,了解情况后咱们SINE安全当即安全技术对客户网站进行排查和溯源。
客户运用的是单独linux服务器,上面只放了一个网站,用的是蓝科cms做的网站,其时做网站的时候价格也很便宜,没想到用了不到一年就呈现了网站被黑被篡改跳转到其他网站的情况,并且网站源码中的index.php,mysql.php,config.php都被删除了,根目录中只剩下了index.html和m.html,这2个文件的内容头部都被增加了加密的代码,代码图片如下:
这些加密的网站tdk代码其实是Unicode编码,解码后的内容是一些关于体育违规内容,导致在搜索引擎录入的快照标题描绘直接也被篡改成这些内容了,说到这里您可能会问为什么会进犯咱们的网站篡改成这样,其实是因为黑客使用关键词的排名来做一些灰色行业,然后依据搜索引擎点击的直接跳转,而直接输入网站域名的话是不跳转的,并且很多客户网站被进犯后首先找到的就是网站建造人员,让他们去处理被篡改的问题,其实他们是经过备份文件去康复,然后治标不治本,没过多久旧又被篡改了,重复篡改导致网站的权重以及录入的排名全部下降了。
客户实在没招了从网上找到咱们SINE安全来寻求网站漏洞修正的技术支持,对全体的网站代码进行详细的审计,对木马后门的整理以及免杀的后门代码进行了一一比照,对网站后台的拜访以及附件目录Uploads的脚本权限设置,对缓存目录runtime进行了权限设置,敞开了伪静态url形式,对整理代码进行了安全加固,对日志进行了溯源,发现在2022年3月份的时候就现已被上传了木马后门,并且源码作者当初加密的2个文件属于后台目录里的,主张必定要对后台目录加固,如果对程序代码不熟悉的话可以向网站安全公司寻求技术支持。