请教站长们，我网站是怎么被挂马的，被入侵了吗？附图 - 开源中国社区
当前访客身份：游客 [
当前位置：
昨天例行趴在我服务器上补充用户文档，我的习惯是，加入新的页面内容后，会立即从客户端访问查看效果。我的页面除了在线测试页面是半动态的之外，其他都是静态页面，纯手工写的。
起先一切都无恙，但突然出现个新情况。我客户端从访问任何页面，都会弹出个自动下载，该下载指向 :.exe，而这个东西根本不属于我页面内容，显然是有问题的。
首先，我把服务器立刻杀了毒，翻出一些疑似病毒，全部kill了；重启服务器，再次测试，问题依旧；
其次，我怀疑我客户端所在局域网被感染，于是换手机，通过移动网络访问，但问题依旧，排除了局域网中毒；
最后，我仔细翻检服务器各处主要系统目录，没发现异常，检查我的网站页面，也没异常，重装apache和php，问题依旧。
现在，已经举报了此恶意行为。但我想知道，这是什么原因导致的？
被篡改的页面：
恶意下载链接地址所指向的这个服务器：
共有8个答案
<span class="a_vote_num" id="a_vote_num_
你这个问题问站长们肯定是问错人了。
随便新建一个html，写几个字符。访问都会提示exe下载，那就确定无疑是中了arp病毒。属于网络被攻击，你的arp网关地址被人修改，你的数据包经过假网关，http页面最后一行被加上了恶意链接。
如果是arp，可以加我qq。我帮你干掉它，并做预防设置。你先确认是这个问题再加我。
--- 共有 4 条评论 ---
谢谢，太给力了!我遇到的是第一种，他们处理的还算很迅速，故障持续不到24小时就搞定了。
(2年前)&nbsp&
: 2. 欺骗客户端：你这个情况被攻击这么久，都没被ISP修复。说明影响很小，只有部分人被攻击。这种情况，可以自己在客户端上设置静态ARP绑定解决问题。不需要ISP协助。影响大的时候，这个静态绑定不管用！不过，影响大不用你动手，问题肯定会被发现并修复的。
(2年前)&nbsp&
: arp攻击分两种，欺骗网关设备下的客户端和欺骗网关。
1. 欺骗网关：会导致整个IP段网络瘫痪，ISP会被客户电话告知问题（别说ISP会自动发现ARP，扯蛋是不行的），然后很快会被处理掉。这个必须ISP处理，客户端无法处理。
(2年前)&nbsp&
谢谢，这个问题被我举报后，很快就消失了，正如徐志摩的诗，轻轻地，它来了，又轻轻地走了。波折平息，暂不管它，反正apache日志无异常，arp病毒只有服务商能搞定，我这是vps，没那么大权限和责任，既搞不定，也没精力去管那么宽。哈哈，总之是谢谢。
(2年前)&nbsp&
<span class="a_vote_num" id="a_vote_num_
补充一下：
1、我在服务器访问所有页面，都不会出现这个恶意下载，这与客户端情况不同；
2、在举报没有结论之前，我不打算重装操作系统，因此，现在在首页做了个提示，免得用户受害，等结论后，我把系统重装下，以策安全。
现在我想知道是什么原因导致这个木马挂站了。同时，顺便表达对此类恶意行为的严重抗议，与其有时间花在木马病毒和恶意行为上，为何不从良做些好事？！
<span class="a_vote_num" id="a_vote_num_
我通过域名，借助在线的站长工具，查询到其IP，然后在工信部查到其服务器备案信息，发现这个IP下面有十几家公司和一些个人的备案，但这个恶意域名不在其列。显然，这是违法私服。该服务器用的是HFS，一款轻量级web服务器，页面内容除了恶意程序外，什么都没有。查询此IP所在地址，显示为河南郑州广电网。
<span class="a_vote_num" id="a_vote_num_
初步判断恶意网站应该是买的虚拟主机
<span class="a_vote_num" id="a_vote_num_
恭喜你，你被黑了。
<span class="a_vote_num" id="a_vote_num_
可能是xss攻击,没过滤危险字符,你数据库里用到的表查一下有没有那个域名,有的话把那条记录删了再看看
最好是每个表记录里搜下像script,onload,onerror,location,eval等关键词,要是数据库记录比较少的直接整个sql导出,用像emeditor等可以打开大文本的编辑器打开查找比较快
也有可能是你用了外站的js,外站被劫持了
--- 共有 5 条评论 ---
如果是这样，我就放心了，我买的vps，arp是服务商的事情，我明天找他们，谢谢
(2年前)&nbsp&
: 不一定是要保存到数据库的,只要是保存了,取出来时被过滤都会被触发,不过刚刚再分析了一下出问题的那个页面的源代码,并没有发现有js的痕迹,应该是你所处的局域网被arp攻击了,所有访问被指向了攻击者,返回数据的时候已经被攻击者篡改了,可以试试这个思路排查
(2年前)&nbsp&
: 我的网站比较特殊，实际上页面中没有任何东西是来自于数据库的，相反，唯有一个在线测试页面会把东西送入数据库，还必须使用WFSQL语法才能成功，同时，这个在线测试用的数据库是每次都会被删除的，因为它就是临时的，只进不出。虽然这次没涉及到，但你说的这个漏洞我也会记下来，以后格外注意别踩坑。谢谢
(2年前)&nbsp&
: 源码没问题但是输出到客户端就被加入iframe,我觉得基本是有xss漏洞了,就是能被用户输入的地方没有过滤就保存到了数据库里,比如留言功能,那么就可以在留言那里写入js代码,比如在页面加载完成时插入iframe,就可以造成你网站的这种情况
(2年前)&nbsp&
谢谢您的详细回复。我服务器没有使用除了自己开发的数据库之外的任何其他数据库，也没有使用任何外来的js，除了jquery。这是个非常怪异的问题，我页面源码在服务器端查看，无任何异常，但在客户端看来就被加了个iframe的恶意头部。别的没发现什么异常。现在clamwin查杀无毒，而且今天症状突然消失了，跟来时一样无影无踪。尴尬，郁闷，浪费我的精力呀。
(2年前)&nbsp&
<span class="a_vote_num" id="a_vote_num_
试着从访问日志里里面看看，是否能看出什么来，特别是一些提交（POST, status:200的），这种的如果不找到系统（os，代码）漏洞，如果对方盯上你这个网站了，重装也无济于事。
--- 共有 2 条评论 ---
谢谢您的回复，抽时间我学下日志分析。post问题我这里暂未涉及。纯静态。
(2年前)&nbsp&
第一次做网站，都不知道怎么查日志。精力有限是主要原因，现在一直忙于写数据库。实在是不行，就换linux系统算了。若非我开发机是linux32位，我是不会买win64系统的vps。
(2年前)&nbsp&
<span class="a_vote_num" id="a_vote_num_
可以吧你的apache 的日志打包上传到某个地方，请大家帮忙分析啊。
--- 共有 1 条评论 ---
对呀，这是个办法。我找找apache的日志在哪里，然后压缩放在服务器上，告诉大家地址，帮我看看什么情况这是。
(2年前)&nbsp&
更多开发者职位上
有什么技术问题吗？
wharf_z...的其它问题
类似的话题& & 网站被挂马是站长最害怕的一件事。因为只要网站被挂马了，自然网站所有的因素都随之降低，而且挂马不及时处理，则可能导致网站直接被K掉，从而断取了从搜索引挚获取流量的源头。站长有三件最怕的事：一是挂马，二是挂暗链，三是网站被K。所以，对于网站被挂马则是让站长所做的努力全都白费掉了。毕竟网站被K后重新恢复原来的排名自然花费的精力努力都是非常大的。而且有时候甚至花费精力也不一定能回到原来的状态中。所以，对于挂马的危害，站长是闻者色变。今天笔者谈谈怎么查看分析网站是否被挂马的几个方法：& & 一、在线木马检测提示被挂马& & 现在比较知名的就是360安全检测、金山在线杀毒和瑞星安全等这些网站是否被挂马检测工具，毕竟如果网站一旦被挂马了，后果是不可想象的。而站长只要把一些具有安全检测的第三方软件放置到网站内，自然网站被挂马了就会有所提示的。而且一般来说，站长应该每周都通过在线木马检测网站检查一下网站的安全性，不要为了省那么一点点的时间让网站深陷被挂马的状态中去。笔者建议站长们应该尽量的放置一个在线木马检测标志，毕竟这个对网站是否被挂马可以起到一个提示作用，而且每当自己网站被挂马后，自然第一时间就收到消息，可以以最快速度解决掉，才不会引来不堪的后果。& & 二、访问网站时提示网站有病毒& & 现在的杀毒软件不但保持本地电脑的安全，当你访问一个被挂马的网站时，杀毒软件都会有所提示。而且正常情况下，浏览器都会结合杀毒软件提供在线检测病毒的。所以，当自己访问网站时，如果杀毒软件提示存在风险或者是网站有病毒，这时候就应该认真的检测一下网站了。毕竟网站是否安全影响很大的，如果被人挂马了，自然说明网站的控制权在别人的手里，一旦对方是有所图的，改掉网站的内容或者信息，那样就亏大了。而站长也不要访问一些有病毒的网站，以免受感染了。每位站长的电脑都会装有杀毒软件的吧。所以，对于这点其实很基本也很容易做到的。只要每天自动更新病毒库，自然杀毒软件发现病毒都会有所提示的。对于存在木马病毒的网站在访问时都会提示。& & 三、网站源码中存在可疑的网址& & 站长要再仔细的检查网站是否被挂马可以通过查看源代码，通过查找有没有不是自己网站的URL，一般情况下，除了友情链接之外，其他的URL都应该是自己的网站。站长可以查询首页的源码、栏目页、内容页的源码，通过输入www或者是http等之类的有效检测字符，发现有不是自己网站的，而又不是自己添加的，那么就应该重视一下，这样可能网站被挂马了或者控制权不在自己手里了，要尽快的处理掉。& & 四、搜索网站时提示&网站存在安全风险&或&恶意网站&& & 搜索引挚也有对网站是否存在木马病毒的检测功能，如果网站被挂马，自然在搜索引挚上会显示该网站存在安全风险或者是该网站存在恶意软件之类的提示，而一般都会出现在谷歌搜索引挚上，而百度通常都会在索引的网站后面加个红色的标志。所以，对于自己网站是否被挂马，站长可以通过在搜索引挚上查询自己的网站名，看看自己的网站在各大搜索引挚上有没有显示一些提示标志，自然就可以知道网站是否安全了。当网站被打上风险标志时，就意味着网站将要走进被降权或者被K掉的境地了。& & 当网站出现以上几个情况时，站长就要及时的检查网站了，如果这时候还以为是搜索引挚的问题或者自己电脑的问题等几天看看的话，那么你就会把网站推向了被K的深渊中。网站被挂马后不及时处理所带来的后果是不可估计的。所以，对于网站的安全，站长应该打起十二分精神，不要让不良分子趁机倒毁了自己辛苦建立的网站。本文由http://www.jgdq.org 独家供稿，转载请留链接，谢谢!
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
论文写作技巧
上一篇：下一篇：
相关经验教程网站安全，从这里开始
1,872,033,585 个页面
187,784,192 个漏洞
SQL注入，XSS跨站，struts2漏洞，建站程序漏洞，0day漏洞
自由开源的漏洞修复插件，可以防护黑客攻击，修复漏洞
快速安装，一键查杀，即可识别互联网内99%的后门程序
最新发现的0day漏洞
恶意网站监控平台
Copyright&0网站安全检测