最近朋友请求帮助说,网站后台发布的内容在主页上没有更新,第一反应是网站数据调用错误,仔细想想以前网站内容发布更新是否正常,那么肯定不是纯数据调用错误,应该是网站程序被恶意篡改。然后朋友说,百度快照的网站主页显示赛车和其他赌博信息,很显然这是该网站被黑客入侵。


思考分析


 -   -   - 


在确认该网站被黑客入侵后,立即检查该网站并通过搜索引擎搜索域名,以发现该快照确实已变为赛车信息:


接下来点击baidu快照直接跳转到网站的另一边受益,直接输入域名查看网站源代码:


链接网站服务器,发现index.php文件的网站根目录已被篡改,通过网站备份文件恢复index.php文件,再次刷新网站,源代码中红框上方消失,网站可以正常访问。


Lily_Screenshot_1566912990.jpg  网站被黑(入侵)并挂木马应该怎么办?案例分享 黑帽seo

01


 - 


篡改后的站点代码分析:


<title>标签和网站内容关键字的内容,描述,这种类似于代码的代码转换为unicode字符,同时,第一条JavaScript通过if(导航器.UserAgent。 ToLocaleLowerCase()。indexOf(“baidu”)= = 1)修改网站的快照百度搜索结果只有标题,这是网站是黑色的,其他搜索引擎网站标题显示是正常的,只有在百度搜索结果是网站标题被替换。


02


 - 


虽然该网站现已恢复正常,但它尚未删除在网站服务器上篡改此左侧的后门文件(获取修改网站文件权限的特洛伊木马)。如果无法清除后门文件,则篡改仍可随时修改网站程序。


一般情况下这个后门木马文件正在关闭asp或PHP可执行文件,然后可以去检查网站第一个程序文件的修改时间,在文件管理中显示最新修改时间的文件,通过修改时间可以很快列表涉及文件夹,然后通过设置文件夹权限,禁止运行此类asp或PHP可执行文件,以防止篡改后门程序再次修改网站程序。


03


 - 


无论网站的内容如何小,但存储在文件中的服务器都是成千上万,想要查出来,这些可疑文件需要一定的技巧,在SEO优化中必不可少的技巧 - 网络日志分析在此文章中,我们提到“当网站出现黑色或挂马等时,通过分析网络日志,可疑快速定位到可疑文件”


以下是从网站日志中摘录的日志记录的一部分。从日志中,我一直试图找到一个上传。 Asp可执行文件。


需要注意的是返回状态代码为200的记录,因为返回200的状态代码就是说,访问路径是访问目标文件,也可以通过请求的URL路径查看可疑的afficheimg目录作为PHP文件中的images目录,这两个目录一般都是存储在图像文件目录下,并且出现了一个PHP文件,可以直接判断出PHP文件不是原始文件的网站,根据路径的网站记录,找到要删除的目标可疑文件。


同时,日志中发现一些记录显示百度蜘蛛抓取可疑文件,但我们使用nslookup反向检查Windows平台中的IP,发现这些IP地址都是伪蜘蛛。


写在最后


 -   -   - 


删除网站上的可疑文件后,您仍需要观察网站两天,导出网站日志,屏幕显示可疑请求,并防止后门文件被清除。同时,尽快更改网站服务器密码和FTP帐户密码,以降低网站被黑客入侵的风险。


一旦确定您的站点正常运行并且您的可疑文件是干净的,您需要采取最后一步向搜索引擎提交快照更新,直到快照恢复正常。当然,有很多方法来破解网站,我们不是专业的安全人员,因为seo我们需要对网站安全有一定的了解,这里只提供一种比较简单的处理方式,更高级的网站安全问题或需要专业人员来解决。


发布评论

分享到:

如何从seo新手到入门?这五点你需要学会
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。