有个网友使用phpcms建的网站最近被入侵了,百度查询域名发现收录了许多页面都是非法信息。
点击就会跳转到非法网站中。但收录的是网友的域名。
经DiYunCMS技术人员检查发现,都是类似于这样的页面
www.xxxxx.com/index.php?mod=viewthread&poc=*****.html
然后页面会跳转。
这种情况基本都是某些文件被篡改了,我们需要找到被篡改的文件。
DiYunCMS技术人员采用最笨也是最有效的方法:下载网站程序文件与之前的备份进行全站对比(对比文件),找到不同文件(被篡改文件),在 \phpcms\base.php 文件中发现了木马代码
通过转换十六进制得到结果
发现是植入执行了 statics/js/h.js 这个木马文件
将这个木马文件删除,将上那行代码也删除。
虽然临时清除了,但由于phpcms官方已放弃不更新,程序本身存在诸多漏洞无法修复,而且已经被盯上了,所以即便清除了也是会再次被入侵的。
这位网友最后决定,将网站换成 DiYunCMS 系统,内容采集迁移过来。并进行了严格的安全配置。
DiYunCMS安全配置教程:https://www.diyuncms.com/help/show/1119.html