務器近期遭遇掛馬嚴重，平時忙于工作每次都是刪除木馬，開啟防篡改保護，沒有從根本上解決問題。本次決定安排時間專門學習WEB滲透，針對ASP、PHP企業網站安全防護作一些研究。
一、網頁篡改常見形式
1、js跳轉
黑產分子一般通過將正常網站首頁置入跳轉腳本，當網站打開時，跳轉到非法網站。這些非法網站向他們支付費用。有時還可以看到黑產分子放置的統計代碼。
通常，這些js跳轉代碼會藏在jquery腳本末尾，這樣不容易被發現，而且每個引用了jquery的頁面都能跳轉。
其次，腳本會判斷用戶是否為初次訪問，記錄cookie。只有初次訪問才跳轉到非法網站。這么做好處是客戶第二次訪問時正常內容，以為是自己電腦出了問題，所以不會通知維護人員。更精明的是，黑客可以先不跳轉，等經常訪問網站的維護人員和網站所屬企業職員記錄下cookie，這樣這類人員訪問時將不會發現異常。
黑客（黑產分子）最關心的是經常訪問網站的維護人員和網站所屬企業員工。要讓他們不發現網頁被破壞，才能讓跳轉代碼不被清理，使其他訪客能長期被帶到非法網站從而盈利。
2、搜索引擎篡改
此類篡改一般將網站的SEO相關標簽，即title、keyword、description篡改為非法網站的信息，如某某在線娛樂城。為了不被發現，他們只把篡改內容給搜索引擎看，而向用戶返回正常頁面。下圖是一個典型的篡改頁面：

被篡改的網站首頁

可以看到，<title>標簽內容被篡改為&#;的形式，此為html實體編碼，即&#unicode編號;，這樣可以防止掛馬檢測軟件發現。又不影響搜索引擎蜘蛛爬取。當然，要向用戶返回正常頁面還得使用document.title=’’來將標題改成正常內容。
此類篡改對維護人員來說相當麻煩，主要是搜索引擎會阻止訪問網站和搜索結果變成非法信息。

篡改后的網站在百度收錄中的展示

點進去過后的提示

另外，如果在微信中打開同樣會屏蔽訪問。這個屏蔽是針對主域名，而不是二級域名。所以一點a.qian1.top被掛馬，*.qian1.top都會被屏蔽，非常嚴重。

微信屏蔽掛馬域名

這樣幾乎宣告域名報廢。如果是備案域名，那就損失大了。不過可以百度和微信都可以通過申請解封來恢復訪問，但如果經常被封就會越來越難解封了。
3、黑鏈和隱藏頁面
這一類現在用得比較少了。可能是效果不好不能直接給非法網站帶去訪問。黑鏈一般在網站首頁的最下面。隱藏頁面會在網站各個有寫入權限的地方創建，有時創建的文件甚至達幾個G。這些頁面最終會導致網站百度收錄結果全是非法信息，從而影響正常收錄。我們可以用site:命令來檢查一下自己的網站頁面快照是否正常。

網站黑鏈被收錄

知道這些攻擊形式后，我們需要了解黑客如何實施這些非法攻擊的。通常，這些攻擊都是使用工具的，如中國菜刀。這樣攻擊簡單、還可以方便地管理受害網站。

中國菜刀（china chopper）管理界面

只要馬還在或者網站上傳漏洞未修復，隨時都能管理受害網站，一鍵執行跳轉注入、SEO篡改等操作，這遠比清理這些注入篡改快捷，所以維護人員可真是可憐。維護費用也可能遠不及攻擊報酬。
掛馬、篡改分析與處理見下一篇。

　網站被篡改的情況多出現于企業官網，且做了百度競價的一些網站。而且直接訪問網站時，不易發現問題，但通過百度訪問會發現跳轉到了違法內容的鏈接。再通過百度搜索官網會發現搜索結果中網站的Title、Description都已經被篡改。

　　這類行為的目的就是通過這些受害網站獲得排名并跳轉到違法網站，達到不法的目的。對于企業來說不但損失了百度競價的費用，還對企業形象造成很大的影響。甚至直接導致網站被空間商關閉或被有關機構刪除。

　　那遇到這種情況該怎么解決了？這就要具體分析原因了。以下我們介紹的每一步都很關鍵，這也是我們錦技運維服務在這么多年服務過的客戶后，總結出來的經驗。

　　第一步，先臨時恢復首頁：

　　我們發現這種情況都有個共同點，就是網站首頁給篡改了，如果原先首頁為動態文件的話，則會被刪除，然后替換成了一個靜態文件，比如html或htm格式的index或default文件。Title、Description改成了Unicode編碼，用戶看不見具體內容，但搜索引擎會解釋成文字，這也是為什么搜索看到網站結果是被篡改后的內容。而且加入了一些Js，會判斷凡是通過百度會的訪問就會做跳轉。

　　首先我們刪掉該被篡改的文件，從備份中恢復首頁文件。注意，這只是第一步，是臨時先恢復首頁的方法，因為沒多久后，這個文件又會被替換和篡改掉。不管怎么樣，先把網站的門面給恢復。包括之后的操作中，也要隨時注意首頁的恢復，不要不耐煩，一旦發現被篡改，就先馬上恢復首頁再說。

　　第二步，比對全站代碼：

　　首先自己手上得有一套完整的網站備份，特別是代碼的備份。直接登錄服務器或FTP鏈接到網站目錄，比對各目錄和文件與備份的目錄和文件的差異。注意，必須細化到每個目錄，不論目錄層次多深，逐一比對。有時候會發現一些奇怪的文件名，比如PHP寫的網站會出現ASP擴展名的文件，上傳目錄中會出現動態文件，一些藏得很深的目錄中出現了不該有的文件。可以采用一些小技巧加快排查速度，比如通過文件更新時間排序。如果能遠程登錄服務器的話，這個工作可以借助一些文件比對工具來做輔助。把所有發現的可疑文件刪除，或者改掉文件名。

　　如果你有興趣的話，可以打開這些文件的代碼，一般能查到明文的密碼，通過網址訪問這些文件，輸入密碼后會發現是個可以操控整臺服務器的腳本，甚至可以執行Dos命令，訪問各盤符各目錄，任意在系統中植入和刪除文件。

　　這第二步會花費很長時間，其實主要就是細心，不漏過一點蛛絲馬跡。

　　第三步，分析訪問日志：

　　部分虛擬主機空間商能提供訪問日志，或者云主機自己配置web service記錄每天的訪問。通過訪問日志，查看最近有沒有訪問比較奇怪的目錄和文件，并且這些奇怪的文件來自哪些IP。通過這種方式反查到服務器中存在的惡意文件。

　　但有時候會發現一個奇怪的現象，通過FTP或云主機目錄中看不到這個文件，即使打開查看隱藏文件的選項仍然查看不到，但通過網站卻能訪問到該文件。遇到這種情況，云主機的話，通過Dos命令能查找到并刪除該文件。虛擬主機的話比較麻煩，可以聯系空間商，或者通過一些手段先上傳一個同名的可查看文件，會覆蓋掉隱藏文件，然后再刪除。如果遇到權限等原因無法刪除的情況，聯系空間商處理有時候更快捷。

　　通過訪問日志，還能分析來自哪個IP或哪些IP經常訪問這些惡意植入的文件，可以先屏蔽掉這些IP或IP網段。記得將來取消屏蔽，特別是屏蔽網段的情況下。

　　第四步，尋找漏洞：

　　接下去，我們需要尋找造成這種問題的原因。否則不解決原因，以上問題還是會持續發生。

　　首先是服務器漏洞，這對于云主機來說是需要重點考慮的，這工作其實應該平時日常就要做好，而不是出了問題再做。記得定期更新補丁，再安裝防火墻，有條件的話安裝企業級的商業版防火墻，沒條件的話用免費版的個人防火墻也可以，再不行，總得開啟win系統自帶的防火墻吧。當然配置好自動定時更新，還有配置好一旦發現病毒的自動處理邏輯即可。

　　（我們遇到過一個國企大客戶，他們的一臺最主要的云主機，居然3年多沒有更新過補丁，也沒有安裝任何防火墻，直到服務器上的多個網站被篡改了，系統被木馬搞的實在跑不動了才想到找我們解決。其實這事情是日常的工作，平時花不了多少功夫，但出了問題可就是大問題了。）

　　除了服務器漏洞，還可能是網站代碼漏洞或限制不嚴謹，這就關系到程序編寫人員的技術能力了，如果遇到這種情況，就需要和程序員一同尋找問題。程序邏輯是否有問題，是否有做文件上傳限制等等。

　　環境配置引起的漏洞，這需要注意web service的配置，權限是否配置不合理，網站目錄是否人為的設置了everyone或guest可寫權限了。文件上傳目錄不該給予執行權限。

　　采用的第三方插件漏洞，比如網站中常使用的富文本編輯器的漏洞也需要注意，有些編輯器不是拿來就能用的，得配置其中上傳功能，過濾掉不該上傳的文件類型的文件名。還需要結合上面提到的，記得將文件上傳目錄的執行權限去掉。避免編輯器的目錄放置在根目錄，并且目錄名采用默認的。這樣漏洞直接就能被利用到。

　　（這里提示一下，市場占有率極高的某富文本編輯器在IIS環境下會出現漏洞，需要特別注意。）

　　第五步，其他合理配置：

　　后臺管理路徑不要使用容易被人猜測到的文件名或目錄名，比如admin。用戶名和密碼盡量設置復雜。FTP賬號和遠程管理賬號也是如此，如果FTP服務不使用，暫時先停止掉。網站使用的數據庫鏈接賬號，Mssql不要使用sa，Mysql不要使用root，為網站單獨創建賬號，限制賬號權限，更改數據庫端口，禁止外鏈。關閉不需要的服務，關閉不需要的端口。結合防火墻進行配置，現在云服務器能直接配置安全策略，只開放使用的端口。如果需要經常外鏈方式管理服務器，最好通過VPN組虛擬局域網加證書的形式。

　　第六步，觀察和反復操作：

　　做好以上幾步工作后，接下去就是持續觀察了。如果首頁是否還被篡改，那說明網站中的惡意文件還沒有清除干凈，需要重復以上的多個環節，需要說明的是，只要一個惡意文件沒有被清除，就會通過它引入幾十個甚至上百個惡意文件的植入。所以耐心很重要，直到徹底清除干凈，堵死所有漏洞清除所有惡意文件為止。

　　（我們遇到過一個客戶的網站中被植入了幾千個木馬，而且居然沒有備份。我們的技術員只能手動一個個目錄查看和分析，并且幾乎24小時待命隨時解決問題，最終花了一周半才徹底解決問題）。

　　總結：

　　以上我們寫的這六步是比較常見的操作手法，遇到不同案例肯定得不同分析，定制不同的解決方案和側重點，采用一些不同的小技巧。所以，沒有技術能力解決的情況下，推薦采購錦技運維服務，我們專業技術人員會為客戶提供服務，并且維護成本極低。

篡改對象

JavaScript共享的本質一直是開發人員心頭的痛。

因為任何對象都可以被在同一環境中運行的代碼修改。

開發人員很可能會意外地修改別人的代碼，甚至更糟糕地，用不兼容的功能重寫原生對象。ECMAScript 5致力于解決這個問題，

可以讓開發人員定義防篡改對象（tamper-proof object）。

每個屬性的[[Configurable]]、[[Writable]]、[[Enumerable]]、[[Value]]、[[Get]]以及[[Set]]特性，以改變屬性的行為。類似地，ECMAScript5也增加了幾個方法，通過它們可以指定對象的行為。不過請注意：一旦把對象定義為防篡改，就無法撤銷了。

不可擴展對象

默認情況下，所有對象都是可以擴展的。

也就是說，任何時候都可以向對象中添加屬性和方法。

密封的對象

ECMAScript 5為對象定義的第二個保護級別是密封對象（sealed object）。

密封對象不可擴展，而且已有成員的[[Configurable]]特性將被設置為false。

這就意味著不能刪除屬性和方法，因為不能使用Object.defineProperty()把數據屬性修改為訪問器屬性，或者相反。屬性值是可以修改的。

凍結的對象

最嚴格的防篡改級別是凍結對象（frozen object）。凍結的對象既不可擴展，又是密封的，而且對象數據屬性的[[Writable]]特性會被設置為false。如果定義[[Set]]函數，訪問器屬性仍然是可寫的。ECMAScript 5定義的Object.freeze()方法可以用來凍結對象。

凍結對象是很有用的。因為JavaScript庫最怕有人意外（或有意）地修改了庫中的核心對象。凍結（或密封）主要的庫對象能夠防止這些問題的發生。

將自己進大廠前花5w買的內部python培訓課程，整整400集，現在拿出來分享給大家，手把手教學，輕松就業不是夢，_嗶哩嗶哩_bilibili