求助，服务器被黑了，首页一直被修改加上一个转到某个博彩网址的 js，我把文件调成只读都没用，有思路是什么原因吗？

yanaraika

2018-08-17 20:51:38 +08:00

一定要备份已有代码、格盘、手动检查所有代码、重装服务器

houyujiangjun

2018-08-17 21:42:46 +08:00

明显是 cdn 劫持,上证书吧骚年

mytsing520

2018-08-17 21:52:28 +08:00

1.检查 rewrite ；
2.检查代码；
3.检查数据库

ztaosony

2018-08-17 22:24:47 +08:00

先检查有没有后门，然后把所有的密码都改一遍

1nclude

2018-08-17 22:30:18 +08:00

先查杀下 webshell，然后查看下日志，看看是怎么进来的

toarufan

2018-08-17 22:59:13 +08:00

难道不是 http 劫持了，上 https 吧

Akkuman

2018-08-17 23:22:37 +08:00

看起来像是 http 劫持，之前碰到过这种情况，上 https

feifei8868

2018-08-17 23:35:01 +08:00

换个网络环境看一下，例如电信有换联通或移动看一下如果只有一家服务商或一家的一个地区基本就确定是劫持，如果确定是了就上 HTTPS 了如果不是劫持，就"找人"检查程序服务器了

LvMax

2018-08-18 00:00:54 +08:00

D 盾扫服务器找有没有 shell 其他的再说基本上是被写 shell 了

a516307724

2018-08-18 10:49:45 +08:00

看起来像是网络劫持，换个网络环境看看吧

abccccabc

2018-08-18 14:19:11 +08:00

楼主，查出来问题了没有？

VgV

2018-08-18 15:27:15 +08:00

瑟瑟发抖，加个只读这个操作真是可怕。。
ps:楼上说的 http 劫持，能跳到菠菜？那有关部门第一时间就上门查运营商水表。

hu5ky

2018-08-18 15:36:40 +08:00

什么原因可以自己查日志分析怎么入侵的啊，，你这个什么逻辑？？？？

ihavecat

2018-08-18 16:59:34 +08:00

@VgV 确实，如果是运营商这种操作肯定会被举报的

laolinn

2018-08-18 22:42:48 +08:00

首先确认一下 PHP 环境是不是用了那些什么一键搭配来弄的，是的话赶紧换掉。看看日志文件有什么可疑地方，最后就是找时间把网站的漏洞修复一下

doufenger

2018-08-19 11:32:53 +08:00

我把被串改的代码贴到补充了哪位大神看看

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/480799

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.