網站漏洞處理修復服務之lankecms篡改漏洞

近期受到很多用藍科lankecms網站原始碼做的網站的客戶反饋首頁檔案index.html和m.html被篡改增加了跳轉程式碼，導致從百度點選進來的直接跳轉到世界盃體育網站上去，而且百度快照收錄的標題也被篡改了，透過客戶的敘述，發現此原始碼是用tp架構二次開發的，其中原始碼檔案LoginAction.class.php和TextAction.class.php被作者加密了，具體內容無法解密，用的是混淆加密，被篡改的客戶基本都是在同一時間批次被篡改，跳轉的網址也是一致的，瞭解情況後我們SINE安全立即安全技術對客戶網站進行排查和溯源。

客戶使用的是單獨linux伺服器，上面只放了一個網站，用的是藍科cms做的網站，當時做網站的時候價格也很便宜，沒想到用了不到一年就出現了網站被黑被篡改跳轉到其他網站的情況，而且網站原始碼中的index.php,mysql.php,config.php都被刪除了，根目錄中只剩下了index.html和m.html，這2個檔案的內容頭部都被增加了加密的程式碼,程式碼圖片如下：

這些加密的網站tdk程式碼其實是Unicode編碼，解碼後的內容是一些關於體育違規內容，導致在搜尋引擎收錄的快照標題描述直接也被篡改成這些內容了，說到這裡您可能會問為什麼會攻擊我們的網站篡改成這樣，其實是因為駭客利用關鍵詞的排名來做一些灰色行業，然後根據搜尋引擎點選的直接跳轉，而直接輸入網站域名的話是不跳轉的，而且很多客戶網站被攻擊後首先找到的就是網站建設人員，讓他們去處理被篡改的問題，其實他們是透過備份檔案去恢復，然後治標不治本，沒過多久舊又被篡改了，反覆篡改導致網站的權重以及收錄的排名全部下降了。

客戶實在沒招了從網上找到我們SINE安全來尋求網站漏洞修復的技術支援，對整體的網站程式碼進行詳細的審計，對木馬後門的清理以及免殺的後門程式碼進行了一一對比，對網站後臺的訪問以及附件目錄Uploads的指令碼許可權設定，對快取目錄runtime進行了許可權設定，開啟了偽靜態url模式，對整理程式碼進行了安全加固，對日誌進行了溯源，發現在2022年3月份的時候就已經被上傳了木馬後門，而且原始碼作者當初加密的2個檔案屬於後臺目錄裡的，建議一定要對後臺目錄加固，如果對程式程式碼不熟悉的話可以向網站安全公司尋求技術支援。