展会今天开,官网打不开。这种悲剧事说大不大,说小似乎也不小。最悲剧的是官网不光是打不开,而是直接跳转到非法博彩网站了,万一有人上当呢。
9月24日,第二届四川国际旅游交易博览会在四川乐山市举行第二次新闻发布会,宣布展会将于2015年9月25至9月30日举行。
本届旅博会由四川省人民政府 、联合国世界旅游组织 、亚太旅游协会指导,乐山市人民政府、四川省旅游局、 四川省人民政府外事侨务办公室、四川省文化厅、四川省商务厅 、四川省体育局、四川博览事务局主办。
由于需要查阅相关资料,小编登陆旅博会官网www.scite.cn时,发现该网站居然在临展前无法正常访问,正当小编以为是浏览人数较多,服务器挂了的时候,发现该官网直接跳转到了一个境外非法博彩网站。好吧,这是明显被黑的节奏了!
然后,小编就顺带请教了下我厂技术部门的同事DL。经过初步查看,DL认为可能存在两种情况,一是官网域名被非法泛解析,这个比较严重;二是官网程序存在漏洞或后门,源文件被入侵修改!
既然有了方向,那就开始排查咯。首先我们查看了www.scite.cn这个域名的DNS解析记录,发现该域名在最近一年内都没有被修改过,那么域名管理权限被盗取的问题被就被排除了。
旅博会域名备案记录显示,www.scite.cn是官网无误,备案主体是乐山市旅游局
由于官网直接跳转到非法网站,无法在网页上通过常规方法右键查看网站源代码是否被修改。所以我们通过在浏览器输入:view-source:http://www.scite.cn/ 。 然后正常进入了该网站的源代码页面,果然发现首页被非法篡改。详见下图:
被黑代码
查看箭头所指的异常JS文件后,我们发现了跳转网页的地址。这行代码中的网站就是打开官网呈现给我们的最终那个非法网页了。
跳转黑链
我厂技术猿DL也给出了解决方法,如果展会组织方能看到的话,请直接按以下步骤操作,应该就可以恢复了!
1.先给自己电脑杀毒,确认安全后。修改FTP密码、网站后台文件夹名称和密码、越复杂越好。
2.登录FTP(或服务器),在网站根目录中找到名称为:yulecheng 的文件夹,直接删除!操作完这一步之后网页就不会再跳转了。
3.打开首页文件index.aspx,删除</head>这中间的所有内容<body>。操作完这一步网站首页就能正常打开了。如果index.aspx文件中没有上面截图里的异常代码,那就找到网页头部公共文件,这个文件应该以head来命名......总之,找到异常代码,删除掉!
4.用网页编辑软件搜索全站含“yulecheng”的页面,发现什么页面被修改,就在该网页上重复第3步。
......
不知道这个官网是24号被黑的,还是更早以前!这个只能查看服务器文件修改记录来确定了。但截止本文在微信公众号发稿前,旅博会的官网仍未恢复!