场景:FTP 账号密码简单(123456、域名、admin)、FTP 未限制 IP、默认端口 21 开放;
入侵流程:
扫描器暴力破解 FTP 账号;
直接上传 .js 恶意脚本、html挂马页面、iframe劫持代码;
覆盖原有 index.html,植入跳转黑页、广告、暗链木马;
木马形态:
页面底部插入<iframe src="违法" width=0 height=0>;
恶意 js 窃取访客 Cookie、跳转劫持流量;
隐藏恶意静态页面 admin.html / 1.html 留后门。
后台默认账号 admin/admin、弱密码;
后台存在文件上传功能(图片、模板上传);
黑客绕过上传校验,把 xxx.js / xxx.html 伪装成图片上传,写入静态目录;
甚至直接在线编辑静态 html,插入恶意代码。
PHPStudy / 小皮面板、宝塔、IIS 套件漏洞:
面板未更新、后台未改密码,漏洞允许跨目录读写网站静态文件;
远程桌面 3389 公网开放、弱密码,黑客登录后直接篡改全站 html;
服务器安全软件(360 安全卫士)防护关闭,病毒自动遍历网站目录植入 js 木马。
/upload / storage / images 上传目录:前端上传接口校验不完善,允许上传 .html .js;
黑客上传恶意静态文件,通过 URL 直接访问执行恶意脚本;
若上传目录没做 IIS 拦截,可批量生成大量劫持页面。
common.js / public.js 内置暗链、跳转劫持代码;
隐藏空白 html 后门,用于后续批量篡改页面;
页面内置隐藏 iframe,上线后自动引流黑产站点。
把服务器、FTP 账号发给外包 / 建站人员,对方留后门;
域名服务商、虚拟主机后台被盗,在线文件管理器篡改静态文件;
同服务器其他站点动态漏洞(PHP/ASP)跨站写入你的静态目录(虚拟主机高危)。
文件包含:读取本地恶意代码写入 html;
表单写入:留言 / 反馈页面未过滤,存储 XSS 恶意代码,渲染到静态页面。
隐藏 iframe 劫持
<iframe src="https://黑产域名" style="width:0;height:0;display:none"></iframe>
xxx.js,窃取浏览器信息、弹窗广告、跳转劫持。3. 新增后门静态页面cache.html / temp.html / 123.html,留后门用于再次篡改全站。4. 暗链植入页面隐藏<a href="">,用于 SEO 黑灰产。5. 页面替换直接覆盖 index.html,网站首页变成黑产页面。FTP:强密码、限制本机 IP 登录、修改默认 21 端口、不用时关闭 FTP;
服务器 3389 远程桌面:禁止公网直连,改用堡垒机;
建站助手 / 面板后台:修改默认账号密码,限制登录 IP;
不随意把服务器账号交给第三方。
拦截危险后缀:.js html 不拦截,但拦截后门证书、备份文件 .cer/.bak/.log;
上传目录单独配置:禁止上传 .html/.js 文件,仅允许图片 jpg/png/gif;
关闭目录浏览,防止黑客遍历网站文件寻找后门;
完整拦截规则追加到你的 rewrite:
<rule name="禁止访问后门备份文件" stopProcessing="true"> <match url=".*\.(bak|log|sql|cer|pfx|key|crt)$" /> <action type="CustomResponse" statusCode="403" /></rule>
IIS 运行用户 IIS_IUSRS:仅读取,拒绝「写入 / 修改」权限;
上传目录单独限制:仅允许写入图片,禁止创建 html/js 文件;
服务器管理员账号以外,全部禁止修改网站文件。
上线前检查模板 js、html 底部是否存在 iframe、陌生外链;
使用 D 盾 / IIS 安全狗开启文件变动监控,一旦 html/js 被修改立即告警;
定期全站备份,一旦植入木马直接覆盖恢复。
服务器删除无用建站工具、文件在线编辑器;
虚拟主机隔离站点,杜绝跨目录文件读写;
服务器系统补丁定期更新,关闭无用端口。
后端校验文件头,仅允许图片格式;
上传文件随机重命名,剥离 .html/.js 后缀;
上传目录禁止脚本执行权限。