網站被劫持 解決網站反覆被跳轉的處理方案

臨近2019年末，網站安全事件頻發，攻擊者加大了對網站的攻擊力度，必定是在爲過年錢作準備，大撈一把過個好年。就在最近，某客戶網站被入侵併被篡改了首頁代碼，網站從搜索引擎打開直接跳轉到了彩//piao網站上去了，經過朋友介紹找到咱們SINESAFE作網站安全服務，防止網站被攻擊，恢復網站的正常訪問，關於這次安全事件的應急處理，以及如何作網站的安全加固，咱們經過文章的形式記錄一下。

2019年12月18日晚10.00，剛準備收拾收拾下班，接到客戶的電話，說是公司網站被入侵了，網站首頁代碼的標題，描述，關鍵詞，都被篡改爲加密的字符，從百度點擊進去直接跳轉到什麼彩//piao，菠菜網站上去了，聽到客戶的這些網站被攻擊描述，能夠肯定網站被攻擊了，並被劫持到彩//piao網站上了，針對這一狀況咱們SINE安全當即啓動安全應急響應小組，對客戶的網站進行安全處理，防止攻擊擴大化。

客戶網站採用的是windows2012系統，php+mysql架構的thinkphp開發的網站，使用IIS做爲網站的運行環境，像網站被入侵，服務器被攻擊，代碼篡改，網站被劫持跳轉等攻擊，咱們SINE安全處理了十多年了，第一反應是客戶的服務器也被黑了，可能被提權加了管理員帳戶，又或者被植入了後門，致使網站一直處於被攻擊狀態。大致問題咱們瞭解了，接下來就須要登陸服務器進行詳細的安全檢測，包括網站代碼的安全檢測與網站漏洞檢測，網站木馬後門清除等一系列的相關安全服務。

登陸服務器咱們SINE安全技術發現服務器被植入了木馬後門，寫在了系統文件裏，並鉤子關聯到啓動服務中，無論服務器如何重啓，仍是會執行攻擊者植入的木馬後門文件，咱們隨即對後門進行了清除，對服務器的端口進行了安全策略，限制了站內，站外的端口訪問，只開放了80，針對遠程端口作了IP白名單安全限制。緊接着最重要的安全問題就是客戶的網站仍是一直跳轉，從百度點擊進去就會不停的跳轉，包括APP端也都同樣的攻擊症狀，咱們檢查了首頁代碼發現代碼被篡改了，截圖以下

在百度裏搜索網站，網站的快照並被百度網址安全中心提醒您：該站點可能受到黑客攻擊，部分頁面已被非法篡改！客戶的網站還作的百度推廣，致使流量一直下滑，損失較大，咱們對首頁代碼的篡改內容進行了刪除，恢復正常的網站訪問，但問題並非想象的那麼簡單，刪除代碼後，跳轉的問題仍是依舊，並無解決，根據咱們SINE安全多年的安全經驗來看，確定是IIS被劫持了，也就是說IIS的配置文件可能被攻擊者篡改了。對服務器的IIS配置文件進行查看，檢查處理程序映射功能是否被植入惡意的DLL文件，仔細看了下，也沒發現問題，繼續追蹤安全分析，也對web.config檢查了，也沒發現URL僞靜態規則，看來攻擊者仍是有點技術手段，那也沒有關係，既然問題肯定在IIS裏，確定是寫在那個配置文件中，隨即咱們對模塊功能進行檢查，發現了問題，被植入了惡意的DLL文件，致使該模塊被應用到了IIS8.0當中，找到問題根源，處理起來就比較容易了，隨即對該模塊進行了清除，並iisreset命令重啓了IIS環境，網站被入侵跳轉的問題沒有了。

接下來咱們SINE安全開始對客戶網站的安全進行加固服務，仔細檢查了網站存在的漏洞，以及木馬後門，對thinkphp的每一個文件代碼都進行了詳細的人工安全審計，發現thinkphp存在遠程代碼執行漏洞，致使攻擊者無需任何權限，直接執行漏洞生成網站木馬後門文件也叫webshell.在public目錄下發現一句話木馬後門，也叫PHP小馬，咱們對其進行刪除，也對客戶網站漏洞進行了修復，客戶網站才得以安全。

有些客戶以爲刪除首頁跳轉代碼就能解決問題，但是過不了幾天網站又被攻擊，根源問題在於網站漏洞沒有修復，以及網站存在着webshell木馬後門文件，只有真正的從根源上去入手，才能防止網站被攻擊。若是本身對代碼不是太懂的話，建議找專業的網站安全公司來處理，國內SINE安全，鷹盾安全，啓明星辰，綠盟，深信服，都是比較不錯的，網站安全了帶給客戶的也是利益上的雙贏，能幫助客戶走多遠，本身才能走的更遠。