四川旅博會官網被黑｜首頁跳轉非法網站

　　展會今天開，官網打不開。這種悲劇事說大不大，說小似乎也不小。最悲劇的是官網不光是打不開，而是直接跳轉到非法博彩網站了，萬一有人上當呢。

 

　　9月24日，第二屆四川國際旅遊交易博覽會在四川樂山市舉行第二次新聞發布會，宣布展會將於2015年9月25至9月30日舉行。

 

　　本屆旅博會由四川省人民政府 、聯合國世界旅遊組織 、亞太旅遊協會指導，樂山市人民政府、四川省旅遊局、 四川省人民政府外事僑務辦公室、四川省文化廳、四川省商務廳 、四川省體育局、四川博覽事務局主辦。

 

　　由於需要查閱相關資料，小編登陸旅博會官網www.scite.cn時，發現該網站居然在臨展前無法正常訪問，正當小編以為是瀏覽人數較多，服務器掛了的時候，發現該官網直接跳轉到了一個境外非法博彩網站。好吧，這是明顯被黑的節奏了！

 

　　然後，小編就順帶請教了下我廠技術部門的同事DL。經過初步查看，DL認為可能存在兩種情況，一是官網域名被非法泛解析，這個比較嚴重；二是官網程序存在漏洞或後門，源文件被入侵修改！

 

　　既然有了方向，那就開始排查咯。首先我們查看了www.scite.cn這個域名的DNS解析記錄，發現該域名在最近一年內都沒有被修改過，那麽域名管理權限被盜取的問題被就被排除了。

 

 

旅博會域名備案記錄顯示，www.scite.cn是官網無誤，備案主體是樂山市旅遊局

 

　　由於官網直接跳轉到非法網站，無法在網頁上通過常規方法右鍵查看網站源代碼是否被修改。所以我們通過在瀏覽器輸入：view-source:http://www.scite.cn/ 。 然後正常進入了該網站的源代碼頁麵，果然發現首頁被非法篡改。詳見下圖：

 

 

被黑代碼

 

　　查看箭頭所指的異常JS文件後，我們發現了跳轉網頁的地址。這行代碼中的網站就是打開官網呈現給我們的最終那個非法網頁了。

 

 

跳轉黑鏈

 

　　我廠技術猿DL也給出了解決方法，如果展會組織方能看到的話，請直接按以下步驟操作，應該就可以恢複了！

 

　　1.先給自己電腦殺毒，確認安全後。修改FTP密碼、網站後台文件夾名稱和密碼、越複雜越好。

 

　　2.登錄FTP(或服務器)，在網站根目錄中找到名稱為：yulecheng 的文件夾，直接刪除！操作完這一步之後網頁就不會再跳轉了。

 

　　3.打開首頁文件index.aspx，刪除</head>這中間的所有內容<body>。操作完這一步網站首頁就能正常打開了。如果index.aspx文件中沒有上麵截圖裏的異常代碼，那就找到網頁頭部公共文件，這個文件應該以head來命名......總之，找到異常代碼，刪除掉！

 

　　4.用網頁編輯軟件搜索全站含“yulecheng”的頁麵，發現什麽頁麵被修改，就在該網頁上重複第3步。

 

　　......

 

 

　　不知道這個官網是24號被黑的，還是更早以前！這個隻能查看服務器文件修改記錄來確定了。但截止本文在微信公眾號發稿前，旅博會的官網仍未恢複！