网站貌似被 XO,请教这种入侵方式是如何实现的

2014-12-29 21:27:18 +08:00
 blijf
利用 site:xxx.com inurl:php
出现了一堆博彩内容,而且搜索引擎显示的链接地址是xxx.com/forum.php?[1-9]酱紫的链接
但是我访问该链接又是正常的页面
3400 次点击
所在节点    问与答
12 条回复
virusdefender
2014-12-29 21:31:43 +08:00
搜索引擎劫持 判断user agent
blijf
2014-12-29 21:32:31 +08:00
@virusdefender 谢谢,明天学习一下
zhangjian
2014-12-29 21:33:44 +08:00
从解析上找找原因。。。
blijf
2014-12-29 22:04:10 +08:00
@zhangjian 谢谢,你是张自然吧,以前在免费吧见过:)
zhangjian
2014-12-29 22:23:18 +08:00
@blijf 嗯。
yylzcom
2014-12-29 22:29:06 +08:00
以前处理过wordpress这样的,在全站都加载的某个文件里放一段加密js,判断是搜索引擎的跳转到某些网站……
herozzm
2014-12-29 22:38:58 +08:00
@yylzcom +1 遇到过,这是原因
iyaozhen
2014-12-29 22:52:11 +08:00
我也是这样,好几个月了那些数据才慢慢消除。

我是被人改了DNS解析(被恶意泛解析了),说的就是DNSPod,查日志是通过接口被改的。
Slienc7
2014-12-29 23:31:29 +08:00
Refer 来路判断
Slienc7
2014-12-29 23:32:40 +08:00
曾在某些政府网站看到过同样手法
某关键词用百度可以找出一堆政府博彩
vz3x
2014-12-30 01:11:25 +08:00
虽然楼上已有正确回答、这里再补充一下、快速查找该恶意代码方法~查一下你的核心被包含文件…重点查看更改时间较新的文件、原理是通过判断head中user agent 、如果是搜索引擎爬虫 则会劫持页面更改页面内容、如果不是,则显示正常,所以你看到搜索引擎里结果 和你浏览器里的结果不一样.


写在后面、能劫持你收录页面了,说明你的站点已经被shell、建议先深度查杀遗留后门、补上漏洞、数据库若在同服则查看是否被开启远程连接、建议更改数据库密码、3389或ssh密码 更改web后台密码 更改web后台路径、上传目录禁止执行 其它目录禁止写 建议单独建一个小权限用户运行web应用 该用户对目录操作权限应设置最小化

这样基本不会有问题了、当然服务器没被运行远控类木马的话;-) 祝你好运
iiusky
2014-12-30 09:42:11 +08:00
@virusdefender 又是你

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/157719

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX