公司自己的网站,放在香港的一台Windows的服务器上,最近总是出问题。
部分网站被恶意的跳转www.583900.com//?a=60652,除非我把我的域名解析转到别的地方,或者停止解析,否则哪怕是服务器上把IIS的网站删除,都不能阻止这个域名的跳转。
- 浏览器输入网址,不管是主页或者内页,都会被跳转,地址栏网站首先会变成
yii.lll11lo.top:888,然后会跳转到目标网站www.583900.com//?a=60652。
- 浏览器F12查看,发现访问我自己的域名,首先会提示
302 Found,紧接着就会转到yii.lll11lo.top:888,而yii.lll11lo.top:888的代码部分如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
| <html lang="zh-CN"><head>
<meta http-equiv="Content-Type" content="text/html; charset=GB2312">
<meta http-equiv="X-UA-Compatible" content="IE=8">
<meta http-equiv="Expires" content="0">
<meta http-equiv="Pragma" content="no-cache">
<meta http-equiv="Cache-control" content="no-cache">
<meta http-equiv="Cache" content="no-cache">
<title>加载中...</title>
<div style='display:none'>
<script type="text/javascript">var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_1273848833'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s22.cnzz.com/z_stat.php%3Fid%3D1273848833' type='text/javascript'%3E%3C/script%3E"));</script>
</div>
<script language="javascript">
setTimeout(function(){
var arr=["http:\/\/www.175700.com\/?a=60650","http:\/\/www.583900.com\/?a=60652"];
window.location.href=arr[parseInt(Math.random()*arr.length)];
},10);
</script>
</head><body></body></html>
|
可以看到302重定向后,10微秒内会跳转到www.583900.com//?a=60652
我试过了好多办法,都不行。我不知道我被攻击的原理是什么 ,所以我也找不到解决的办法。
我在浏览器输入网址,DNS服务器会解析到我设置的服务器IP地址,该服务器IIS会查找指定的网站,如果找到已经绑定的主机头,就跳转到目标网站,如果没有找到主机头,就会跳转到默认网站。
那么,恶意的程序是在哪里注入的?这不属于DNS污染,也不属于DNS劫持。
我的域名可以顺利解析到服务器,那么恶意程序只有在IIS上动手脚了?但是我IIS上有十几个网站,只有这个网站有问题,别的都正常访问。
我想我真的是无能为力了,可能我需要换一个服务器吧。