El sitio web ha sido secuestrado. ¿Alguien puede darme algún consejo sobre cómo solucionarlo?
1. Secuestro de nombres de dominio
Actualmente existen muchos productos que brindan servicios de motores de búsqueda, como Baidu, Google, Sogou, Youdao, etc. Las tecnologías que aplican son bastante diferentes. y la tecnología central. Generalmente, se consideran secretos técnicos de la empresa y no los conocemos, pero hay una instantánea de los datos almacenada en el servidor del motor de búsqueda. Cuando el usuario ingresa una palabra clave, el motor de búsqueda la recupera en la instantánea. servidor a través de la función de búsqueda y guarda los resultados, ordena y enumera por tiempo de recopilación u otros índices para proporcionar información a los usuarios.
Sin embargo, durante el uso, si el sitio web tiene implantado un programa troyano, aparecerá como si se hubiera buscado un sitio web a través de un motor de búsqueda. El nombre del sitio web y el nombre de dominio en los resultados de búsqueda son consistentes. los reales Cuando abre este sitio web, en los primeros 12 segundos, no hay ninguna anomalía al abrir el nombre de dominio del sitio web, sin embargo, después de aproximadamente 1 segundo, el sitio web que aparece es otro sitio web o un sitio web ilegal. La dirección de la resolución del nombre de dominio no tiene anomalías, lo cual es completamente correcto.
Cuando ocurren problemas similares, a menudo los llamamos "secuestro de nombres de dominio". Hay muchas razones para esta situación. A medida que las aplicaciones de Internet se integran cada vez más en la vida social, el entorno de la red se vuelve más complejo y cambiante. . Este fenómeno advierte a los administradores de sitios web que deben conceder gran importancia a la seguridad de la red y mejorar continuamente su capacidad para responder a nuevas amenazas a la seguridad.
2. Inyectar código
Los piratas informáticos suelen utilizar la inyección de código y la instalación de archivos troyanos. Al inyectar código, cuando cualquier navegador accede al archivo inyectado, se inicia el código inyectado. funcionando, utilizando la función FSO del sistema para formar un archivo troyano. Luego, el pirata informático utiliza este archivo troyano para controlar el servidor, no solo la carpeta donde se encuentra la Web. Por supuesto, algunos piratas informáticos no necesitan controlar el servidor. pero simplemente inserte algunos enlaces negros en el archivo web y no aparecerá ningún contenido adicional cuando abra el sitio web. Sin embargo, la velocidad de apertura será muchas veces más lenta de lo normal, porque todo el sitio web no se abrirá por completo hasta que se eliminen estos enlaces negros. efecto Si es un enlace negro Solo es necesario borrarlo, pero si el archivo tiene caballos o caracteres troyanos, será difícil encontrarlo.
3. Características principales
Después de repetidas búsquedas de las causas, se descubrieron las características principales del secuestro de nombres de dominio. Después de analizar los caracteres implantados por el pirata informático, se descubrió que utilizó la declaración "window.location.href'js", lo que también provocó que la administración del sitio web no pudiera iniciar sesión correctamente. Después de que el administrador ingresa el nombre de usuario y la contraseña en En la ventana de inicio de sesión de administración, generalmente se autenticará después de pasar la autenticación. Parte de la información del usuario se pasa a otros archivos a través de la sesión, pero la declaración "ventana, ubicación.href" hace que sea imposible implementar el proceso de autenticación. El formulario no se puede enviar al archivo de verificación normalmente si el sistema usa un código de verificación, "window.location". La declaración href puede hacer que el código de verificación caduque y que el código de verificación ingresado no sea válido, lo que provocará que el sitio web no pueda enviarse al archivo de verificación normalmente. inicie sesión normalmente
Estas características tienen principalmente las siguientes características:
(1) Ocultación fuerte
Los nombres de los archivos troyanos generados son muy similares. a los nombres de archivos del sistema web. Si los identifica por los nombres de los archivos, es imposible juzgarlos. Además, estos archivos generalmente se ubican en muchos niveles en la carpeta web, y el administrador no puede encontrarlos. Los caracteres insertados en el archivo también están muy ocultos. Solo hay unos pocos caracteres y generalmente no se pueden encontrar.
(2) Altamente técnico.
Aprovéchelo al máximo. De las características de MSWindows, el archivo se almacena en una determinada carpeta y los caracteres especiales se procesan en el archivo. Los métodos normales no pueden eliminarlo ni copiarlo, y algunos ni siquiera se pueden ver. carpeta, pero no se puede ver (el sistema muestra completamente los archivos ocultos) y no se puede eliminar ni copiar
(3) Es altamente destructivo
Si un sitio es. Si se colocan troyanos o caracteres, todo el servidor será destruido, lo que equivale a estar completamente controlado por piratas informáticos, lo que puede ser muy destructivo. Sin embargo, el propósito de estos piratas informáticos no es destruir el sistema, sino utilizar el servidor web. secuestrar el sitio web que desean mostrar. Por lo tanto, si algunos sitios web son secuestrados, serán redirigidos a algunos sitios web ilegales que causan consecuencias adversas.
4. Contramedidas
A través del análisis de las causas, es principalmente que se han obtenido los permisos de lectura y escritura para los archivos y carpetas del sitio web del servidor del sitio web. El problema es que las razones y los métodos se pueden prevenir utilizando la configuración de seguridad del servidor y mejorando la seguridad del programa del sitio web, y se puede eliminar el problema del secuestro de nombres de dominio.
(1) Fortalecer la función de inyección anti-SQL del sitio web
La inyección SQL es un método que utiliza las características de las declaraciones SQL para escribir contenido en la base de datos para obtener permisos. Al acceder a la base de datos MSSQLServer, no utilice el usuario predeterminado sa con mayores permisos. Debe crear un usuario dedicado que solo acceda a la base de datos del sistema y configurarlo con los permisos mínimos requeridos por el sistema.
(2) Configurar las carpetas del sitio web y los permisos de operación de archivos
En los sistemas operativos de red Windows, utilice derechos de superadministrador para configurar los permisos para los archivos y carpetas del sitio web. La mayoría de las configuraciones Para permisos de lectura. , utilice los permisos de escritura con precaución. Si no puede obtener permisos de superadministrador, el programa troyano no podrá rootear y la posibilidad de que el nombre de dominio del sitio web sea secuestrado se reducirá considerablemente.
(3)_Mira el administrador de eventos y limpia archivos sospechosos en el sitio web
Existe un administrador de eventos en el sistema operativo de red Windows, sin importar cómo el hacker obtenga el Permisos de operación, las excepciones se pueden ver en el administrador de eventos a través de eventos y fechas anormales, busque en el sitio web cambios en los archivos dentro de la fecha, debe verificar específicamente si se les ha inyectado código. o modificado. , limpie los archivos de código ejecutable recién agregados.