今天处理了一下客户被黑的站
这个站第一次访问的时候总是会跳转。不论访问的是哪一个php文件。我第一次的判断是认为是不是所有的php都调用了某个共用的文件,然后我搜索了一下,竟然没有找到包含跳转代码的文件,难道是代码加密了?如果是真的加密了,那就很难找了。然后我以前中一个文件作为基础。放了几个echo,结果出乎我意料。刷新页面的时候,会随机出现跳转代码。跳转代码前后并未出现我定位用的echo文字,难道是服务器的软件被修改了,让我想起了arp攻击。我进控制面板仔细搜索了一下各种扩展,结果在控制面板里找不到第三方扩展,只有系统的扩展。然后我又进ftp里面去找,终于发现了一点苗头,在整个空间的根目录的cgi-bin文件夹里竟然有四个文件,客户和我都不太可能上传文件到这个文件夹,其中还有一个文件的文件名非常明显的写着randhtml,幸亏那个黑客没改这个文件的名称。幸亏我看得懂。麻利的删除这几个文件,刷新网站果然不再跳转。看来遇到了个高手。
上一篇: 旧皮带寿终正寝了,换条新的吧!
下一篇: litespeed 403 错误