记录一次个人网站被博彩网站攻击的故事

某天打开我的网站一看，首页都没啥反应，点啥都直接给我跳转到博彩网站了。

开始排查问题，登录服务器，进入项目目录，git status一下，发现有俩文件红了，入口文件index,php和某个引入的JS文件。发现JS里面被写入了一段重定向：

var c = document.cookie;

     if (c.indexOf('isfirstvisited=false') != -1) {
     } else {

         var d = new Date();

         d.setFullYear(d.getFullYear() + 1);

         document.cookie = 'isfirstvisited=false;expires=' + d.toGMTString();

         location = 'https://897232.top'

     }

问题找到了，直接把这段删了就行，入口文件也改回来，问题解决。

************************** 分割线 **************************

哎，时隔两天又破防了，我改回来隔天又给我改坏了，得想个办法彻底给小黑子封了。

开始寻找一下漏洞，在项目目录运行一下git status，发现多了几个文件：

手段还是跟之前一样，得彻底解决一下，不然改都改烦死了。

捣鼓半天，看了服务器的各种操作日志，没有发现异常用户，操作日志也看不出啥结果。

然后买了华为云的Agent服务，看一下这玩意儿能不能记录到黑客行为

************************** 分割线 **************************

3天后，我又来了，查看安全警告果然记录了异常日志。

不过还是不知道对方的具体手段，本来想写个shell脚本，监控到文件变化，给我发送通知，自动把发生变更的那俩文件复制过去替换掉，这样也省得我天天改了，不过想想还是算了，治标不治本，漏洞还是要找。

然后我发现我用的Thinkphp5框架的那个版本是有漏洞的，并且我的调试模式忘了关了。根据对方在我文件夹里面留下的route.php文件，他应该是用“蚁剑工具”给我弄的木马。

尝试解决方案：

1.删掉原来的整个项目目录，里面可能还有木马文件。

2.升级版本框架，重新部署代码，关闭调试模式。

************************** 分割线 **************************

一周后：

哈哈哈，哥们儿网站好了，处理之后一个多星期，终于没有篡改信息了。

结语：作为一个php小菜鸟，技术功底还是太差了。要学习的东西还有很多，有空了还是要多学习一下安全攻防知识，虽然这次事故还是出在自己粗心大意上。之前21年的时候我也被搞过一次，还是管局打电话我关停了我的备案，各位小伙伴还是要注意一下的。

我自己站的贴子，欢迎来玩：http://moclog.cn/article/575?tkw=ag==