问:www.b2360.com 目前发现首页和会员商铺首页均被被篡改,事情发生应该在我们上次(1个月前)我们开启https发现http被篡改,等我们撤掉https回撤到http后发现被篡改。我们发现网站后台生成 网站首页生成html 首页是好的,商铺首页不行,关掉网 站首页生成html 网站首页和会员商铺首页均不行。现在需求将其进行清理,并保证我们正常使用:1、保证我们在网站设置-SEO优化-网站首页生成html 选项中无论开启还是关闭,生成更新网站首页内容(含源码上内容)信息是OK的;2、保证全站商铺首页/列表页在我们后台生成更新后页面内容(含源码上内容)信息是OK的;3、帮忙排查网站目前被篡改的其他文件,防止本次修改后不久会再次重复发生类似事件;4、并将您清理的文件或者是文件名称、文件夹储存路径和对方修改的字段名称通过该工单告诉到我们,方便我们下一次在网安上做好防范和下一次预防;特别注意:这是使用西部数码服务器第二次发生此类事件,第一次是今年2月左右,当时没有安装云锁,再安装云锁后的这段事件,又再次发生,所以我们对被篡改的文件和具体储存位置要做定位追踪。
问题点截图:会员商铺head和footer部分246天天好彩字样非法信息
最后,该工单属于夜班工单,给夜班工作人员带来不便敬请谅解,同时夜班辛苦,无限感激!
,网站被篡改,网站首页和会员商铺
答:您好,
非常抱歉,给您使用带来不便,值班人员无法协助处理,请工作时间9:00 以后回复工单,会有资深工程师协助排查,非常感谢您长期对我司的支持!
问:好的,那就请白班同志帮忙按照我一上要求协助解决吧,谢谢!
答:您好,
请您再提供wdcp的登录地址、用户名、密码,以便进一步为您排查问题。非常感谢您长期对我司的支持!
问:
答:您好,
1、具体的文件挂马文件,附图:、,已为您重命名为.bak文件。通过观察发现木马是根据:kindeditor编辑器进行注入的。并且已将首页文件为您调整为index.html文件,并且将此首页文件在云锁设置为了防篡改。附图:。云锁进行巡检https://www.west.cn/faq/list.asp?unid=2093、
防篡改设置文件只读http://help.yunsuo.com.cn/manual/f20.html。
2、我司仅仅只能清理程序挂马,并不能修复程序漏洞。若一些程序被篡改导致的异常,请您联系贵司的程序开发人员或对应的程序供应商,为您进行调整,并且彻底修复程序漏洞,才能够有效、实际的解决您的问题。
附图:、、,非常感谢您长期对我司的支持!
问:好的,您好,首先非常感谢支持!目前首页是OK的,还剩下最后一个问题点就是会员商铺首页,打开会员商铺还是被篡改的内容,希望再辛苦一下帮我们再看看,谢谢。
问题的最佳查看路径:http://www.b2360.com/company/我随意打开:http://www.b2360.com/b/jinxi190718/http://www.b2360.com/b/anpingshaiwang/http://www.b2360.com/b/chengajin/….还是被篡改的内容,这就是上面提到的第二点的需求,希望再辛苦帮忙解决一下,谢谢。
问:网站上会员商铺的首页的内容呈现是这样的:
答:您好,
1、根据您提供的url以及截图信息,再次为您进行检查,并且进行模拟蜘蛛,查看源码均是正常的,请您清除浏览器缓存(或换一个浏览器),再试试。
2、如还需我司协助,请您提供对应的url(附带问题截图),以便进一步为您分析。
附图:、、,非常感谢您长期对我司的支持!
问:您好,感谢支持,我这边从昨天在办公室,清除电脑缓存,换浏览器,刷新百度匀加速缓存,打开网站还是这样的形式(如附图),我用手机访问PC端查看会员商铺也是类似的信息,当前网站首页不是我们的网站首页内容,缺少了很多东西,我让西部客服查看过,核实确实不是当前首页生成的内容。
缺少的内容是以下这些内容:
随便打开一个网页呈现的内容还是“中毒”内容,这里我清除过缓存,换过浏览器,从办公室到家里的电脑都看了,还是不行,用手机访问PC端还是一样的http://www.b2360.com/b/zhonghoujixie/http://www.b2360.com/b/gjmomo6659/….会员的商铺我们打开都是这样的
请求协助看看,谢谢。
答:您好:
问:您好!该工单至今才确认清楚。当网站后台开启城 分站,网站伪静态下,网站被挂马的现象还是存在的,同时,在关闭网站首页生成静态页面情况下,网站被篡改现象还是存在的,并没有得到有效改善,不能单单看静态或者伪静态下的情表面草草了事,希望还是帮忙再确认一下,并协助处理,谢谢。
2.第二个是网站生成静态,当关闭时,网站还是被篡改的页面内容
问:首页原锁定的我刚才删掉了,后面再添加,用西部至2017年至今多多少少也差不多第3个年头以上了,这种被篡改就2次,以前一致用虚拟空间都是能搞定,这个服务器买了也一年多点点了吧,就是搞不定这种,还希望花点时间和心思细细的帮我看看,谢谢,感谢支持!
答:您好,检查还有挂马未清理干净,首页代码index.php中包含恶意跳转代码。这部分代码针对特定搜索引擎或者特定的条件才会触发,故直接访问无法出现。模拟方法可参考:https://www.west.cn/faq/list.asp?unid=2104
根据首页中挂马程序代码的一些内容,我们找到了一些程序深层次的挂马,比如这类隐藏为gif图片的挂马。目前已经处理,我司测试正常,请您再测试一下,如有问题请及时反馈我们,谢谢。
问:您好,非常感谢,上次处理以后我隐隐约约感觉没有好,但是反馈给我的就是好了的,我就是清缓存换电脑换IP也还是没有好,所以一直迟迟没有下定论。首先还是非常感谢,这里我想咨询一下,除了我云锁锁定根目录的index.html文件,还有没有建议我锁定的文件或者目录,希望给点建议,为了防止此类事件再次发生,谢谢。
答:您好,建议在云锁防篡改中设置整站的防篡改(不要允许删除权限),目前我们检查暂未发现有其他的挂马,后续您需要更新网站后再开启站点的写入权限,更新完毕后打开云锁防篡改,谢谢。
