相信對(duì)于很多使用v9版本開源代碼做網(wǎng)站的站長(zhǎng)或者企業(yè)來(lái)說(shuō)，最頭疼的就是網(wǎng)站經(jīng)常被篡改和反復(fù)入侵，導(dǎo)致快照記錄被劫持，包括網(wǎng)站的一些無(wú)關(guān)內(nèi)容，以及黑客攻擊。方法越來(lái)越先進(jìn)。我們SINE 收到了一個(gè)流量權(quán)重為5的企業(yè)平臺(tái)網(wǎng)站的幫助，稱該網(wǎng)站總是被反復(fù)攻擊和頁(yè)面篡改，部分目錄中的配置文件經(jīng)常被篡改，導(dǎo)致部分快照內(nèi)容被收錄?；疑袠I(yè)的標(biāo)題，網(wǎng)站快照的TDK經(jīng)常被修改。

在獲悉客戶端對(duì)網(wǎng)站被黑的反應(yīng)后，我們的SINE 立即成立了安全應(yīng)急響應(yīng)小組，允許客戶端提供服務(wù)器的遠(yuǎn)程信息?？蛻艟W(wǎng)站使用獨(dú)立的服務(wù)器系統(tǒng)，網(wǎng)站打包備份。 ，然后下載到我們的本地電腦，通過(guò)代碼審計(jì)技術(shù)進(jìn)行人工代碼檢查，調(diào)用的每一個(gè)代碼都要仔細(xì)查找，網(wǎng)站訪問(wèn)日志也打包，日志交給溯源部門。日志溯源分析，發(fā)現(xiàn)黑客通過(guò)入侵后留在網(wǎng)站的木馬后門進(jìn)行POST操作，編碼被加密。具體地圖如下：

解密good=后的值seo優(yōu)化，發(fā)現(xiàn)內(nèi)容為(copy("/api/2.txt","http:////nork.php"));這句話的意思是copy 將api目錄下2.txt的內(nèi)容復(fù)制到///目錄下的nork.php。發(fā)現(xiàn)黑客還利用系統(tǒng)漏洞提升權(quán)限執(zhí)行反向命令，說(shuō)明黑客技術(shù)高超入侵php網(wǎng)站，利用漏洞。太好了，讓我們找到這個(gè) 2.txt 看看里面有什么：

這段代碼的作用是將good的變量值提交給代碼，然后執(zhí)行eval上傳木馬后門來(lái)篡改文件。黑客的手段確實(shí)高而不深。經(jīng)過(guò)我們?nèi)斯ごa安全審計(jì)和日志溯源，發(fā)現(xiàn)黑客是通過(guò)后臺(tái)登錄的。由于后臺(tái)登錄的用戶較多，部分用戶的密碼有些弱網(wǎng)站建設(shè)，被黑客利用。登錄后臺(tái)后在模塊中插入木馬，利用里面的函數(shù)執(zhí)行木馬后門。該木馬后門可以繞過(guò)防病毒軟件和防火墻?？蛻羰褂玫陌⒗镌品?wù)器，和購(gòu)買的云盾安全企業(yè)版防火墻，還是一樣的。還是被黑了，因?yàn)檐浖吘故禽o助的，軟件不知道代碼是怎么寫的，又是怎么構(gòu)造的，所以防火墻只能對(duì)一些普通的黑客有效，而對(duì)高級(jí)的黑客是沒(méi)用的?？蛻舭谆ㄥX，終于找到我們的SINE安全服務(wù)商解決問(wèn)題。得知問(wèn)題原因后入侵php網(wǎng)站，他立即在網(wǎng)站后臺(tái)加強(qiáng)了登錄地址的安全性，同時(shí)還對(duì)數(shù)據(jù)庫(kù)進(jìn)行了安全審計(jì)，防止黑客利用數(shù)據(jù)庫(kù)。使用表中的一句話木馬，針對(duì)v9版本的漏洞進(jìn)行人工代碼修復(fù)和安全加固，過(guò)濾部分非法功能的執(zhí)行和利用。