2022年6月10号距离世界杯的开幕还差5个多月,许多网站以及IIS被劫持收录大量TFWC 2022年卡塔尔世界杯、体育等菠菜违规内容快照,大家也可以自行检查下自己的网站在百度权重,是否上升的很快,再一个查看关键词排名情况,如果发现都是一些体育,菠菜,QP等等的长尾关键词,那基本上就是网站被黑客入侵并篡改了代码,我们SINE安全公司近期处理了许多中小企业网站的客户,他们也都是收录的世界杯菠菜相关内容的百度快照,网站很多页面的标题、描述都被篡改,访问网站正常也察觉不出网站被攻击或者被劫持,像快照被劫持这种比较隐蔽的攻击,许多站长不容易发现,得需要专业的安全技术才能检查的出来。
那如何确定网站是否被快照劫持?SINE安全老于给大家详细的介绍一下,首先可以打开百度站长工具,看下近期的收录是否异常,像收录突然猛增,百度的蜘蛛抓取次数是否多了很多,再一个看下site:www.***.com自己的网站,看最近一个月的收录,是否收录大量的世界杯体育,菠菜、QP等恶意内容的百度快照。再一个快照劫持的特征是,直接访问网站是不会出现跳转,从百度点击进入网站,会直接跳转到违规网站上去。我们sinesafe以实际的客户案例给大家看下,像下面这种收录内容,基本上就是网站快照被劫持了,也可以说是网站被黑客攻击了。
快照劫持简单来讲,便是黑客利用网站存在的代码漏洞,去入侵网站,并上传webshell木马文件,通过脚本木马,去篡改IIS,以及数据库配置文件,植入劫持快照的恶意代码,这个恶意代码会根据访问用户的特征进行判断,当百度蜘蛛来访问网站的时候,就会将世界杯、菠菜、QP等违法不良内容展现给百度蜘蛛看,让蜘蛛去抓取这些内容,并收录到百度中,有些用户访问的时候,就会跳转到黑客推广的世界杯页面。
网站快照被劫持该怎么办?
要彻底的解决网站快照被劫持的问题,要从网站源代码入手,去检查代码是否存在漏洞,对漏洞进行修复,以及网站木马后门的检测与清除,包括网站安全一系列的安全加固。针对这种劫持问题,我们SINE安全以现实客户为解决案例,进行解说。客户网站使用的是Windows服务器,系统是2012系统,中间件是IIS 10.0版本,网站代码是aspx架构,自己单独开发的,数据库架构是sql,因为客户网站在百度权重是5,收录基本都是秒收,关键词排名也都很靠前,在被黑客篡改代码,劫持快照收录大量违规内容的当天,就找到我们SINESAFE,我们立即进行了安全应急响应,客户提供了服务器以及网站的相关信息,我们对网站的所有代码进行了人工安全审计,检查漏洞,以及存在的木马后门,对网站日志进行了详细分析,包括服务器日志,也都进行了检查,通过客户提供的攻击时间,我们溯源了整个黑客攻击路径。
首先我们人工对代码进行检查,发现了木马文件,也叫webshell后门,也可以理解为aspx脚本大马,该木马可以对网站的源代码进行修改,删除,上传等的一些操作,通过该文件的创建日期,我们查了相关的网站访问日志,发现黑客是通过上传文件代码这里,直接POST上传了后门文件,我们SINE安全对上传代码进行了人工安全审计,发现该代码存在文件上传漏洞,黑客可构造恶意参数直接绕过文件格式限制,上传了.aspx的文件。我们立即对该代码漏洞进行了修复,并对检查出来的木马后门进行了删除。又检查了其他代码,黑客留了不少后门在网站目录下,在附件目录以及CSS目录,后台目录都有发现,都一一记录下来,并强制删除。木马和漏洞都已修复,可以我们发现客户的网站快照还在继续被劫持,点击进去还是跳转到恶意网站上,我们又对服务器进行了检查,发现IIS被劫持了,我们SINE安全技术又对服务器系统进行了安全检测,发现,服务器被黑客提权增加了管理员账户,也就是说服务器也被黑客入侵了,这里简单解释一下,由于aspx权限较大,可以直接添加管理员到服务器中,黑客可以执行系统命令,正常来说,服务器的维护人员应该对aspx的权限进行限制,至给普通用户的权限去运行即可,由于安全意识薄弱导致服务器被入侵。由于黑客篡改了IIS,导致快照还在继续收录,包括跳转也还在,我们对IIS进行了检测,发现植入了恶意代码,导致整个IIS里的网站都被快照劫持,收录大量违法内容。人工对其恶意的IIS代码进行了删除,问题得以彻底的解决。随后我们对服务器进行了人工安全加固,端口安全部署,以及文件权限部署,数据库安全加固等等一系列的操作,防止黑客再次的攻击。
懂点技术的,也可以按照下面方法进行处理快照劫持的问题。
1.分析服务器日志,网站日志,以及网站收录情况是否存在异常,看下网站访问日志是否有大量百度蜘蛛爬取某些不存在的页面。
2.检查网站源代码是否被植入木马后门,可以对比之前的文件进行一一查看,尤其是检查网站的首页代码和数据库配置代码,还有JS,css代码里是否存在劫持的恶意代码。
3.通过百度站长工具,进行模拟百度蜘蛛抓取,看下网站是否抓取的内容,跟你正常浏览的内容不一样,来判断网站被劫持。
4.删除恶意的劫持蜘蛛代码,然后对网站代码漏洞进行修复以及修补,如果不懂如何修复也可以找专业的网站安全公司,也可以找我们SINE安全来进行修复和网站安全加固,彻底的解决快照被劫持的问题。
5.对服务器进行安全加固,可以看一下进程以及端口PID是否异常,检查一下对外的连接是否存在一些除了80,443等端口的IP,检查服务器的登录日志,看下是否有异常登录的IP。
6.利用站长工具,搜集一些收录菠菜内容的快照地址,并设置为404状态,提交给百度进行处理,当百度蜘蛛再次爬取的时候,就会删除这些违规内容的快照。也可以到百度站长中心反馈,或者是到百度快照更新哪里提交一下。
