网站被截持到赌博网

朋友有个网站,今天登录看看,结果等待了好久,几次跳转后到了一个 赌博网站,吓了我一跳,第一反应,自己的云服务器被攻击了。

登录上阿里云控制台,发现有30多个漏洞,只有5个中级,其他监控显示正常, 服务器没问题。

难道是 nginx被人改了配置,查看nginx配置文件修改时间,没发现异常, 进入nginx配置文件,里面的配置也没有问题, 怪了,那就只剩下是网站的问题了.

建立一个测试网站,写了一个html和php, 分别访问,正常, 把很久前备份的网站文件全部复制盖到现有网站目录下,再访问,还是跳转了, NND, 人都快搞晕了(linux,nginx,php,mysql一个都不怎么熟悉)。

后面只剩下数据库了,把很久前备份的数据库脚本替换上去,访问正常,KAO,数据被人修改了,数据库的账号,密码没告诉任何人,数据库的默认连接端口也改了,端口在阿里云安全规则中也拒绝连接,非服务器上根本无法更改数据库的资料。

想想这个网站是朋友请其他人开发的,用了一套框架,网站的展示基本是在数据库中配置html代码来实现的, 现在无法确定是留了后门,还是被sql注入了

最后一招,用较高权限的用户登录数据库,把网站对应的数据库账号权限设置为只能查询,观察一段时间看看.

 

另, 另一aspx网站也被攻击,朋友分析是 ueditor 控件能上传文件造成,攻击者上传了恶意的 aspx文件, 如果服务器未设置好,会造成攻击者通过此文件得到服务器上的很多敏感信息,从而针对性的做后续攻击,nnd

posted @ 2019-09-08 18:24  唯起  阅读(216)  评论(0编辑  收藏  举报