被黑经历:有一天下午,后台所有网址全部被跳转,第一反应就是服务器被黑了。首先到监测站点被篡改的脚本日志查看,检查主节点服务器上代码的完整性,发现index.php文件有被窜改的痕迹,所以导致跳转。xshell远程连接服务器,普通用户连不了,用root发现连不上密码显示错误,很明显,被黑后密码被篡改,还好其它节点做了ssh连接免密机制,连进去没多久就被踢出终端连接了,普通用户的/etc/shadow
故障点:大部分地区访问我们的门户网站都跳转到同一条域名地址了故障点分析: 1.大部分域名被劫持跳转到同一条域名 2.域名劫持只有部分地区,但都是访问量大的地区 3.授权DNS的工具dnspod刚好这个时间维护了 4.nginx配置文件被修改,是否有做地址重写 5.问开发说可能是js或者php文件被篡改,url地址被程序重写定向了解决流程:起初,我们以为部分地区被劫持,加上dnspod维护,以为是dnspod
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
