展會今天開,官網(wǎng)打不開。這種悲劇事說大不大,說小似乎也不小。最悲劇的是官網(wǎng)不光是打不開,而是直接跳轉(zhuǎn)到非法博彩網(wǎng)站了,萬一有人上當(dāng)呢。
9月24日,第二屆四川國際旅游交易博覽會在四川樂山市舉行第二次新聞發(fā)布會,宣布展會將于2015年9月25至9月30日舉行。
本屆旅博會由四川省人民政府 、聯(lián)合國世界旅游組織 、亞太旅游協(xié)會指導(dǎo),樂山市人民政府、四川省旅游局、 四川省人民政府外事僑務(wù)辦公室、四川省文化廳、四川省商務(wù)廳 、四川省體育局、四川博覽事務(wù)局主辦。
由于需要查閱相關(guān)資料,小編登陸旅博會官網(wǎng)www.scite.cn時,發(fā)現(xiàn)該網(wǎng)站居然在臨展前無法正常訪問,正當(dāng)小編以為是瀏覽人數(shù)較多,服務(wù)器掛了的時候,發(fā)現(xiàn)該官網(wǎng)直接跳轉(zhuǎn)到了一個境外非法博彩網(wǎng)站。好吧,這是明顯被黑的節(jié)奏了!
然后,小編就順帶請教了下我廠技術(shù)部門的同事DL。經(jīng)過初步查看,DL認(rèn)為可能存在兩種情況,一是官網(wǎng)域名被非法泛解析,這個比較嚴(yán)重;二是官網(wǎng)程序存在漏洞或后門,源文件被入侵修改!
既然有了方向,那就開始排查咯。首先我們查看了www.scite.cn這個域名的DNS解析記錄,發(fā)現(xiàn)該域名在最近一年內(nèi)都沒有被修改過,那么域名管理權(quán)限被盜取的問題被就被排除了。
旅博會域名備案記錄顯示,www.scite.cn是官網(wǎng)無誤,備案主體是樂山市旅游局
由于官網(wǎng)直接跳轉(zhuǎn)到非法網(wǎng)站,無法在網(wǎng)頁上通過常規(guī)方法右鍵查看網(wǎng)站源代碼是否被修改。所以我們通過在瀏覽器輸入:view-source:http://www.scite.cn/ 。 然后正常進(jìn)入了該網(wǎng)站的源代碼頁面,果然發(fā)現(xiàn)首頁被非法篡改。詳見下圖:
被黑代碼
查看箭頭所指的異常JS文件后,我們發(fā)現(xiàn)了跳轉(zhuǎn)網(wǎng)頁的地址。這行代碼中的網(wǎng)站就是打開官網(wǎng)呈現(xiàn)給我們的最終那個非法網(wǎng)頁了。
跳轉(zhuǎn)黑鏈
我廠技術(shù)猿DL也給出了解決方法,如果展會組織方能看到的話,請直接按以下步驟操作,應(yīng)該就可以恢復(fù)了!
1.先給自己電腦殺毒,確認(rèn)安全后。修改FTP密碼、網(wǎng)站后臺文件夾名稱和密碼、越復(fù)雜越好。
2.登錄FTP(或服務(wù)器),在網(wǎng)站根目錄中找到名稱為:yulecheng 的文件夾,直接刪除!操作完這一步之后網(wǎng)頁就不會再跳轉(zhuǎn)了。
3.打開首頁文件index.aspx,刪除</head>這中間的所有內(nèi)容<body>。操作完這一步網(wǎng)站首頁就能正常打開了。如果index.aspx文件中沒有上面截圖里的異常代碼,那就找到網(wǎng)頁頭部公共文件,這個文件應(yīng)該以head來命名......總之,找到異常代碼,刪除掉!
4.用網(wǎng)頁編輯軟件搜索全站含“yulecheng”的頁面,發(fā)現(xiàn)什么頁面被修改,就在該網(wǎng)頁上重復(fù)第3步。
......
不知道這個官網(wǎng)是24號被黑的,還是更早以前!這個只能查看服務(wù)器文件修改記錄來確定了。但截止本文在微信公眾號發(fā)稿前,旅博會的官網(wǎng)仍未恢復(fù)!