谷子猫博客

一个简单爱分享的小站!^_^!
首页>> 技术文档 >>蓝科LankeCMS建站数次被黑/老版本程序如何设置安全防护?
蓝科CMS建站数次被黑/老版本程序如何设置安全防护?

lankeCMS2.0时代,因为朋友需要,在某科的某宝官方店下单了一份源码。
当时源码确实也不贵,而且店主也协助支持了nginx的伪静态规则。

但是现在没做业务了,朋友担心备案被注销,所以仍要求保留网站。

但是在去年,发生了两三次页面被篡改事件,主要是修改了index.php和config.php文件。几次的入侵手法一致,上传后在网页加了恶意代码。针对搜索引擎到来的访客,直接劫持流量并跳转非法网站。

如图,被篡改的网页:
蓝科LankeCMS建站被入侵并植入恶意劫持代码


当时检查了一下源码,是基于thinkPHP修改的,网上搜了一下,针对这个LANKECMS的入侵不在少数。


近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的。


从检查被入侵后的源码发现,不仅标题被篡改,还添加了判断跳转的JS代码,从代码看,凡是通过搜索引擎过来的访问,都会被劫持到篡改的网址。
而该网址内容基本是菠菜相关,网站内容被篡改,不仅影响客户体验,而且会降低网站在搜索引擎的权重,甚至导致网站被各地反诈系统拦截,被强制注销备案等。

如图:因为被入侵跳转非法站,导致域名被停止解析,网站禁止访问,CDN系统清退加速。
网站因为被黑,导致域名被停止解析,访问被关闭,CDN也被清退。



这套系统的官方淘宝店还在,但是试图联系作者,作者一直不回复信息。

根据网上反馈,猜测入侵是通过服务器上的FSO(Scripting.FileSystemObject)上传覆盖了正常文件。这个组件是宝塔面板默认自带的。
但是如果使用一些虚拟主机,因为不支持FSO,现在一些同样使用LankeCMS的站还是正常的。


因为有代码加密,所以解决方法两个:

1:换虚拟主机,一些大厂的虚拟主机还可以使用。
2:更改关键文件的系统权限,将文件的0755权限修改为0644,这样没有足够权限是无法覆盖源文件的。

同样的解决方法也可以支持其它存在风险的PHP程序:
1:宝塔面板的“防篡改插件”,将站点目录加入防篡改保护里面
2:使用文件加锁命令,将站点配置文件和模板文件锁定。
上锁通过SSH命令就可以完成

以蓝科CMS为例,目前被篡改过的文件有 根目录下的 index.php  config.php Framework目录下的 ThinkPHP.php(目录下也可能会被上传ThinkPHP.phps)
除了加固文件,经常性检查来自搜索引擎的访问是不是正常也很有必要,有问题要及时处理。
蓝科LankeCMS二级目录thinkPHP文件同样被篡改


PS:蓝科新的基于PHP7源码不清楚,但是老的源码存在漏洞且数次被人利用,不建议使用这套代码。


×

感谢您的支持,我们会一直保持!

扫码支持
请土豪扫码随意打赏

打开支付宝扫一扫,即可进行扫码打赏哦

分享从这里开始,精彩与您同在

打赏作者
版权所有,转载注意明处:谷子博客 » 蓝科LankeCMS建站数次被黑/老版本程序如何设置安全防护?
标签: 下载 安全 维护 代码 网页

发表评论

路人甲

网友评论(0)