当我们的网站被入侵了,该如何解决?
一般遇到这种情况,大家先不要慌,拿出手机拍个视频发个抖音和朋友圈啥的就好了。
- js判断useragent做跳转
- php判断useragent做跳转
以前还有一种是如果用户直接访问的话是返回正常的页面,但是如果从搜索引擎点击进去是返回被修改的页面的。那个跟现在的原理相同,但是做法不一样。目前这个是为了让用户更加的难发现问题在哪,对于小白可能就一脸懵逼了。
那么确定问题所在之后,我们就开始分析。既然正常的用户访问不了,那么我们就模拟一下搜索引擎蜘蛛好了。
然后浏览了一通源代码,并没有发现异常的js内容和文件。所以可以确定问题就是在php里面做的手脚了。
内容方面我就不说了,这种类型的内容都是套用模板来批量生成的。
一般的,想要知道黑客的PHP文件上传到哪里,可以直接通过查看文件夹和文件的最新更新时间。
不过由于该站点的文件夹太多了,我还没得找出来,该童鞋就用D盾一顿扫就找到了,结果我不知道,还在傻乎乎的找没找到。原来是他删除了。
不过我也要到了黑客的PHP文件,等下我们分析一下源码。黑客的文件上传路径如我所料,一个是在目录一个是在模板目录。
解密出来,它就是一个post表单处理,它会执行post表单提交过来的代码。
这个就是黑客留下的,我们发现这个似乎也是一个表单提交的页面。跟内容的生成没有任何的关系。
那么黑客是如何生成内容的呢?主要的就是通过前面的那个,其实这两个文件都是属于后门,而且这第二个文件是存放在了模板下的两个不同的目录里面。主要就是为了当st.php文件被发现之后,可以通过这第二个文件继续干这个站点。内容的话都是通过st.php提交来生成的。
本次的分析就到这里,可以看到黑客很多地方都是很厉害的???我们要注意防范,特别是使用开源的程序做站的时候。一定要修复好漏洞。同时账户密码等一定要复杂,而且经常更换。对于一些敏感的目录,可以通过nginx禁止浏览php、asp、jsp等文件。同时要配置要权限,不让图片文件夹等拥有可执行权限。
其实到这里我都有点不太确定这个是否是真的寄生虫感染,因为没有发现生成内容的木马文件。不过只是通过后门来生成内容还是很厉害的,估计是一个新的方式吧。还有就是由于时间关系,我并没有问该童鞋,是否近期有大量的请求是访问st.php的。这个后面等我验证了再给大家答复。
都看到这里了,给个三连暴击吧。
关注我,一起学习更多seo技术