當(dāng)我正在舒坦的喝著咖啡工作的時(shí)候馋辈,一個(gè)不小心輸入了客戶的網(wǎng)站抚芦,打算在看一遍自己的成就,結(jié)果呢首有,輸入之后跳轉(zhuǎn)一個(gè)莫名其妙的網(wǎng)站
0X001排查問題
問題:輸入網(wǎng)址自動(dòng)跳轉(zhuǎn)其他網(wǎng)站
原因有三種:
1.網(wǎng)站被黑燕垃,在js文件中加入加密的源碼枢劝,也有可能是服務(wù)器源碼中出現(xiàn)陌生文件(這一般傻X才會(huì)干的事情)井联,如果你登錄服務(wù)器,或者登陸FTP看到陌生文件您旁,黑客也沒那么傻到千辛萬苦黑入網(wǎng)站只為了放了個(gè)容易被殺掉的木馬文件吧
2.DNS劫持烙常,這個(gè)問題又分為兩種,一種是你本地主機(jī)所在局域網(wǎng)DNS被劫持,另外一種是你的服務(wù)器主機(jī)網(wǎng)絡(luò)DNS被劫持
3.你的網(wǎng)站源碼中有后門文件蚕脏,其實(shí)和第一種差不多侦副,統(tǒng)稱為木馬,不過兩者區(qū)別是一個(gè)主動(dòng)一個(gè)被動(dòng)驼鞭,第一種是被動(dòng)的放入后門或者說是放入掛黑頁秦驯,木馬,第二種是你主動(dòng)夠買的源碼中有別人的后門木馬挣棕。
DNS劫持是什么译隘?
通過攻擊域名解析服務(wù)器(DNS),或偽造域名解析服務(wù)器(DNS)的方法洛心,把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址從而實(shí)現(xiàn)用戶無法訪問目標(biāo)網(wǎng)站的目的固耘。
這是百度百科復(fù)制的,大神的寫的一般正常人都看不懂词身,簡(jiǎn)單來說IP分為:地址厅目,子網(wǎng)掩碼,網(wǎng)關(guān)法严,DNS损敷,那么DNS就是你本地主機(jī)將你請(qǐng)求的網(wǎng)絡(luò)域名轉(zhuǎn)化為ip的一個(gè)東西,也可以說是服務(wù)深啤,再簡(jiǎn)單點(diǎn)來說嗤锉,就是一排數(shù)字,很重要的數(shù)字在控制面板里面墓塌,網(wǎng)絡(luò)ip中本地連接里的IPv4屬性里的東西瘟忱,所以我不過解釋,自行百度去苫幢。
輸入網(wǎng)址之后我們看到跳轉(zhuǎn)到這個(gè)頁面访诱,這個(gè)頁面是一個(gè)彩票的,如果有這樣的情況出現(xiàn)韩肝,不要急触菜,一部一部檢查。
0X002排查問題存在原因
如果你的服務(wù)器是騰訊阿里服務(wù)器哀峻,那么這時(shí)候涡相,我們需要進(jìn)入遠(yuǎn)程控制服務(wù)器里面,找到服務(wù)器自帶瀏覽器隨便輸入一個(gè)網(wǎng)站剩蟀,看看是否有跳轉(zhuǎn)情況催蝗。
如果有跳轉(zhuǎn)情況,可以肯定的一件事育特,代碼沒問題丙号,服務(wù)器網(wǎng)絡(luò)問題,甚至可以確定服務(wù)器DNS被劫持,問題所在也許就是你的域名解析存在問題或服務(wù)器端口問題犬缨。
在這個(gè)情況下喳魏,我們還需要找到控制面板的IPV4屬性將DNS自動(dòng)搜索修改為114.114.114.114和114.114.115.115備用DNS,在進(jìn)行確認(rèn)怀薛。
如果你百分之百確認(rèn)你的端口出入都沒問題刺彩,并且并不是全部端口開放,只開放了80/3306/22/21等枝恋,并且迂苛,以上問題都不存在
那么這時(shí)候我們檢查一下日志,服務(wù)器日志鼓择,數(shù)據(jù)庫(kù)日志三幻,網(wǎng)站日志,日志怎么檢查自行百度呐能,因?yàn)槿绻f這個(gè)念搬,又引出一大堆東西。
檢查日志是排查找問題最好的途徑摆出,看一下日志是否出現(xiàn)陌生的IP朗徊,或者檢查日志是否存在日期下你沒有的操作記錄。
如果日志中存在以上問題偎漫,我們可以確定一件事爷恳,網(wǎng)站被入侵了,如果沒有象踊,那么我檢查一下源碼是否存在后門
照常温亲,如果你讀過我的文章,應(yīng)該知道我必用的手段杯矩,和常用工具栈虚,這時(shí)候我們用漏洞查找和文件路徑查找,如果你的系統(tǒng)存在病毒掃描史隆,也可以用上魂务,這里我只簡(jiǎn)單用了御劍1.5目錄掃描了一下,看是否存在路徑下陌生文件泌射,也可以通過其他的漏洞掃描工具掃描
這里因?yàn)槲野盐募?quán)限設(shè)置過粘姜,并且刪除admin路徑和admin.php文件,換用其他的,所以我就不演示掃描情況熔酷,因?yàn)檫@里問題不出在文件上
如果以上問題你都沒有出現(xiàn)孤紧,那么我們可以肯定一件事,掛馬沒有纯陨,服務(wù)器正常坛芽,只可能是DNS問題留储。
這里其實(shí)也不能一棒子敲定DNS問題翼抠,可能也存在CDN或者HTTPS劫持咙轩,但是大概思路是一樣的,排查方法也一樣阴颖,存在問題就是:
我們輸入域名活喊,自動(dòng)跳轉(zhuǎn)別的網(wǎng)站。
這時(shí)候也分情況量愧,不同電腦出現(xiàn)不同的跳轉(zhuǎn)钾菊,不同地區(qū)出現(xiàn)有的跳轉(zhuǎn)正確,有的跳轉(zhuǎn)不正確偎肃,不同的設(shè)備環(huán)境也存在煞烫,比如說同一個(gè)地方,同一個(gè)局域網(wǎng)累颂,本地主機(jī)進(jìn)不去滞详,手機(jī)進(jìn)得去。
別急紊馏,我們先抓包料饥,這里有人可能會(huì)問我,抓包干什么朱监?
要解決問題就要治根岸啡。抓包我們可以看一下頭部信息,請(qǐng)求方式赫编,分析一下跳轉(zhuǎn)過程中js返回的內(nèi)容巡蘸。
0X003解決問題
抓包之后我的情況是一切正常,并沒有出現(xiàn)HTTPS劫持的現(xiàn)象也沒有JS返回錯(cuò)誤問題擂送,不報(bào)錯(cuò)赡若。
那我就呵呵了,我他媽的遇到鬼了嗎团甲?
有的人會(huì)問我逾冬,HTTPS會(huì)出現(xiàn)劫持,不是防止劫持的嗎躺苦?不是站點(diǎn)嗎身腻?
這個(gè)問題問的非常漂亮,滿分匹厘,牛逼嘀趟,HTTPS防止劫持,但也存在劫持愈诚,HTTPS主要防止js方式接觸她按,但是DNS不會(huì)防止牛隅,那么還會(huì)有另一種可能,DNS和CDN廠商會(huì)加入一段js內(nèi)容酌泰,存在廣告現(xiàn)象媒佣,也可能幾分鐘,利用你的流量做廣告推廣陵刹。
WO TA MA DE?
這是我就來火了默伍,二話不說直接客服,但是在我準(zhǔn)備要點(diǎn)擊提交工單的時(shí)候衰琐,我想起域名解析不對(duì)也會(huì)存在這情況也糊,我就進(jìn)到解析控制面板看了一下
WO TA MA DE
因?yàn)槲业氖欠?wù)器是新浪云的,這時(shí)我看到了SSL解析正確羡宙,驗(yàn)證正確狸剃,DNS解析“否”,我立馬刷新狗热,看到?jīng)]反應(yīng)钞馁,這時(shí)候我就怒火提交了工單,5分鐘后斗搞,客服回饋指攒,因?yàn)橄到y(tǒng)延遲,解析現(xiàn)在正常了僻焚。
我刷新之后的確出現(xiàn)了“是”允悦,并且網(wǎng)站也正常了。
大驚小怪虑啤,嚇?biāo)缹殞毾冻冢瑢殞毐緛硐肫鹉窃撍赖牟势本W(wǎng)站還以為人家搞鬼呢,正準(zhǔn)備深夜著手計(jì)劃下狞山,但是
當(dāng)我檢查起他的ip的時(shí)候全闷,我發(fā)現(xiàn)美國(guó)服務(wù)器,并且多個(gè)cdn萍启,而且還不能ping
所以放棄了W苤椤!勘纯!
咖啡也冷了局服,重新泡,虛驚一場(chǎng)驳遵!cao
