记一次企业网站被植入跳转网站排查过程

昨天晚上刚关电脑准备下班回家,还没迈出门看到手机TIM收到一个企业网站客户信息,告知其某个网站打开之后直接跳转到非他们的网站。通过QQ备注知道这个企业网站客户是去年还是前年的时候通过谁谁谁准备让我们给重新做网站的,最后没有让做。但是自带的三个网站搬迁到我们这边服务器让管理。

本身解决这个问题的业务不属于我们管理范畴,因为客户每年只支付三个网站的虚拟主机费用,并没有提供确保网站安全管理,之前有看到这个客户网站,其程序是直接套用的网上免费自助建站的程序,且这个程序早就关闭不更新,肯定存在一些安全问题。

出于好奇,今天上午好像也没有其他事情,所以就看看他这个问题是否复杂,顺带给他解决一下吧。这样以后有类似的问题还有点解决经验。

第一、出现问题的现状

打开这个企业网站,大约等待2秒钟会自动跳转到一个游戏网站。看来还算好,被入侵之后数据应该还是没有问题的。只是入侵者希望通过跳转到他们的引导网站。

第二、排查问题过程记录

1、备份网站数据

这个企业网站常年不更新,早期是有备份过一次的。我这里就不去调用了,也比较麻烦。就直接在这个网站虚拟主机中直接打包文件和数据库备份。万一搞砸了,还可以直接恢复数据,要不回头客户让我赔他的网站。

2、扫描网站漏洞

cPanel面板自带有扫描安全问题的,看看是否能看出来有什么问题。

记一次企业网站被植入跳转网站排查过程

看到上图,直接扫看看是否有问题。检查出来并没有发现网页中有问题。看来问题应该在数据库中。

3、检查数据库问题

其实我这个也是简单的判断,上面的在线工具扫描问题也不代表没有,估计隐藏的很深。不过我大概看了下文件时间戳是没有被修改的痕迹。那就看看数据库吧,直接将刚才导出来的sql数据库用编辑器打开,然后搜索是否有跳转网址的字符。

问题找到了,临时的解决办法就是将脚本删除掉。然后将数据库重新还原导入即可。这个企业网站问题也就解决了。

第三、稳定的解决方案

以上仅仅是临时的解决方案,给客户解决后收到感谢,仅此而已。告知如果需要以后不再有这类问题,还是需要彻底的重新做网站。因为这套CMS已经很早很早,漏洞还是存在的,老蒋就不去给他寻找漏洞在哪里了。如果有需要重新做网站可以自己去谈,我这里不管了。

总之,以后我们以后类似的情况,尽量网站还是用成熟的CMS搭建,或者自己有专有的系统安全管理。

本文出处:老蒋部落 » 记一次企业网站被植入跳转网站排查过程 | 欢迎分享( 公众号:QQ69377078 )