最近很多公司的网站被劫持跳转到了其他网站上去,客户从百度点击进去会跳转,直接输入网站的域名不会跳转,网站快照也被劫持篡改成与网站不相关的内容,site查看网站在百度的收录也出现问题,收录了很多垃圾内容,有些客户的网站还被百度网址安全中心拦截,提示网站存在违法信息。
那么到底什么是网站被劫持?我给大家简单的讲解一下,攻击者利用网站的漏洞或者暴力破解网站后台进行攻击网站,拿到网站管理员权限后,进而篡改网站的首页文件,标题以及描述被篡改成bo彩内容,并吸引百度的蜘蛛进行抓取收录,当百度快照更新后,bo彩的一些关键词就会排名到百度首页上去,攻击者利用这个方法来获取客户源,以及流量。
那么如何处理解决网站被劫持的问题呢?
正好这几天我们刚处理完一个客户的网站劫持问题,这个客户网站被黑了,通过朋友介绍找到我们SINE安全公司,他说网站快照被劫持了,从百度打开网站会直接跳转到bo彩网站上去,直接输入网址不会跳转,还有就是在百度搜索网站域名,会出现百度网址安全中心提醒您:该页面可能存在钓鱼欺诈信息!的红色百度拦截提示。如下图:
客户说这个网站被劫持问题发生1个多月了,一开始被劫持跳转的时候没当回事,只是篡改了网站首页,覆盖还原回去就没问题了,过不了几天又被篡改了,反反复复的篡改导致目前百度开始拦截网站了,网站的关键词排名都掉了。
上述特征都是网站被劫持的症状,我们首先跟客户要了网站的相关信息,FTP账号密码,以及网站后台的管理员账号密码,连接网站,对客户网站代码进行下载,我们本地对网站的代码进行安全检测,发现网站首页被添加了一段Unicode编码,都是数字字符,如下图所示:
对Unicode编码进行解密发现内容是一些cai票内容等内容。这一些都是攻击者篡改的内容,我们立即对其进行强制删除,网站首页恢复正常,没有再跳转,我们仔细的检查了网站是否存在木马后门,发现在网站数据库配置文件里添加了一句话的网站木马代码,攻击者可以利用这个网站木马文件直接篡改首页,在根目录下的head.php文件也被攻击者篡改,写入了webshell代码,可以直接对网站进行控制,上传代码,下载,修改等操作。我们SINE安全对以上发现的木马后门进行了删除。
那么网站为何被篡改,并上传了木马webshell文件呢?最根本的原因是网站存在漏洞,需要对网站的漏洞进行检测与修复,我们对客户的网站进行漏洞检测,发现网站存在sql注入漏洞,攻击者可以通过恶意的sql语句对网站数据库进行查询,更改,等管理员的操作,我们第一时间想到的就是网站的后台被登陆了,我们查看网站日志,果然发现问题,立即对SQL注入漏洞进行了修复,对有问题的代码进行了安全过滤,防止非法参数的写入,对客户网站的后台进行了二次密码安全验证,修改了默认后台地址,网站被劫持的问题得以解决。
关于网站被劫持的处理建议:
1.对网站的首页文件进行安全检测,看下标题,描述是否被添加Unicode编码的字符。
2、首先清理这些恶意代码,如果是服务器,可以远程登录桌面操作,如果是虚拟主机,可以通过FTP下载下来进行删除。
3、打开网站代码,手工进行清理,如果很多文件都有,可以通过批量替换方式来清理这些恶意代码。
4、一般你网站上都会有网站木马文件,找到这些木马文件进行删除。
5、漏洞的修复,可以对比程序系统的版本进行升级,也可以找程序员进行修复,如果是你自己写的网站熟悉还好,不是自己写的,建议找专业的网站安全公司来处理解决网站被劫持的问题,像Sinesafe,绿盟那些专门做网站安全防护的安全服务商来帮忙。
以上就是关于网站被劫持问题的处理解决办法,如果您一直被劫持的问题困扰可以根据我们处理的过程一步一步来操作,静下心来肯定会找到跳转的代码,删除代码对其网站漏洞进行修复就可以根治网站被劫持。
