我的网站中了马！

前言：

其实我网站中马应该可以追朔到去年的八月份，当时好像是在 xx 平台有用户给我留言说网站上的游戏进不去了 (五子棋多人联机)。于是我打开一看发现首页被静态化了，为了快速能访问就重新提交了入口文件也没继续理会。

直到后来，隔一断时间就又有人留言说打不开，我才开始排查起因了。进入项目代码里，我发现有些文件被修改了。另一方面呢，网站的收录也在不断变少，甚至搜索出来的词和描述都变了，有赌博的，也有体育，迷彩之类的，我猜测应该是中马了。

但是有一点想不通，这人是不是闲得无聊。网站上除了技术类文章，还有就是一些 H5 单机游戏，资源城和多人联机游戏由于没有其他收入支撑，到期后就关闭了。剩下的就是一些免费使用的小工具了，有必要在我网站上挂马吗，带着这个疑问就全都排查了一下代码，终于找到了两个文件能解释这个问题了。

文件一，篡改的入口文件：

他是直接拿静态化的首页加了一些脚本放在了入口文件上，导致我导航栏的跳转全部失效，以下就是我截取的部分文件代码，再说明一下里面放了什么。

1. TDK 部分

也就是标题，描述和关键词都改了，就是上面的模样经过 ascii 编码，可以通过脚本之家的工具 ascii 转中文查看。他改的大概都是一些体育，迷彩之类的词，这也就解释了为什么网站的搜索词都变了，因为没有跳转收录也就变少了。

2. JavaScript 部分

Js 主要是下面那一长串数字，是 unicode 编码了。我一个数字一个数字转完之后，发现原来是一个 Js 脚本引入，最后 ducument.write 就是每次进入都引入脚本，脚本如下。

原来是给他的网站做引流，所以我也打开了他网站，就是下面这个。

文件二，PHP 大马：

这个文件就是他们挂上去的，可能是之前通过留言表单的 bug 提交的，文件名 dama.php，网络上搜索应该就可以了解到，代码如下：

\x62\x61\x73\x65\x36\x34\x5f\x64\x65\x63\x6f\x64\x65 像这个是十六进制，可以通过 JS 的 console.log 或 alert 显示出来，其实就是 base64_deocde 函数名，而 \nc\n3\nR\ny\nX\n3\nJ\nv\nd\nD\nE\nz\n 同样打印出来是如下一串换行的字母，所以就是 base64_decode () 那串，解码后是一个 str_rot13 () 函数

所以那一串长长的就是被 ROT13 编码了，可以通过以下方式修改，还原出那一串是些什么东西，也可以把 dama.php 在本地项目里直接运行。

运行后的样子如下，登陆密码就是他代码里的那个 $password, 其实大概猜的到是 Admin 经过 md5 的，登陆后如下。

登陆后，就可以看到，自己网站就如同裸奔，他可以任意的提交，修改，删除文件，还可以对目录或文件提权，扫描，执行命令等等功能。最后通过我修改后，近几日网站没有再出现之前的问题了。以上文件仅作提示，所以关于如何修改和那个大马如何使用就不做介绍了。