网站被截持到赌博网

朋友有个网站，今天登录看看,结果等待了好久，几次跳转后到了一个 赌博网站,吓了我一跳，第一反应,自己的云服务器被攻击了。

登录上阿里云控制台，发现有30多个漏洞,只有5个中级，其他监控显示正常, 服务器没问题。

难道是 nginx被人改了配置，查看nginx配置文件修改时间,没发现异常, 进入nginx配置文件，里面的配置也没有问题, 怪了，那就只剩下是网站的问题了.

建立一个测试网站，写了一个html和php, 分别访问,正常, 把很久前备份的网站文件全部复制盖到现有网站目录下，再访问，还是跳转了, NND, 人都快搞晕了(linux,nginx,php,mysql一个都不怎么熟悉)。

后面只剩下数据库了,把很久前备份的数据库脚本替换上去,访问正常,KAO,数据被人修改了，数据库的账号，密码没告诉任何人，数据库的默认连接端口也改了，端口在阿里云安全规则中也拒绝连接，非服务器上根本无法更改数据库的资料。

想想这个网站是朋友请其他人开发的，用了一套框架，网站的展示基本是在数据库中配置html代码来实现的, 现在无法确定是留了后门，还是被sql注入了

最后一招，用较高权限的用户登录数据库，把网站对应的数据库账号权限设置为只能查询，观察一段时间看看.

 

另, 另一aspx网站也被攻击，朋友分析是 ueditor 控件能上传文件造成，攻击者上传了恶意的 aspx文件, 如果服务器未设置好，会造成攻击者通过此文件得到服务器上的很多敏感信息，从而针对性的做后续攻击,nnd