网站域名被劫持挂马怎么处理 网站黑链清除

  • A+

今天 遇到一位网友联系我们 360°网站安全加固 求助的网站劫持问题

一般情况下你的网站并不是被特地入侵的,一般出于报复专门入侵你的网站也不会明目张胆的来劫持。

所以一般网站劫持会被用来发布灰色广告,或者被用来做黑帽SEO。之所以你的网站被入侵,是挂马者使用批量getshell工具,根据某个漏洞来批量拿到具有相同漏洞的网站,然后再将相关劫持代码加入到你的网站程序中,而这一系列动作都是用工具批量完成

挂马症状

长话短说,一般你会在搜索结果搜索相关关键词,或者自己的网址,看到的标题可能不是自己的网站标题,点击进去可能会跳转到其他地方,或者进去后发现网站已物是人非。

如:

网站域名被劫持挂马怎么处理 网站黑链清除

本来是一个PS网站标题变成羞羞的内容,而内容已经不(wo)堪(hen)入(xi)目(huan)

网站域名被劫持挂马怎么处理 网站黑链清除

 劫持分析

这种情况很明显挂马脚本对user-agent进行了判断,如果user-agent是百度蜘蛛,那么将返回广告。

一般会在网站程序插入JS,或者在php或者其他程序中插入代码,如果是js,一般只要远程调用一个就可以实现劫持,插入代码量很少。

 

第一步:审核元素中查看网络连接

网站正常打开的时候先看看没有加载异常的脚本

其中加载的js都打开简单看下没有发现异常的脚本。

第二步:找木马

这时候妹纸把网站程序源码包发过来了,ps:妹纸防备着呢,不给服务器权限,但是给了源码还是给了一切啊!虽然没有什么可利用的地方,但我起码知道里面绝对藏着shell呢!

一般挂马程序都是会直接把黑链代码插到index.php中,不会判断太多,这种情况出现在企业站中比较多,所以很自然的打开index.php,发现没有异常,也没有include异常php文件。

看到这里瞬间觉得这个套路还是有点深度的,起码没那么明显。

继续找加载的文件,这时候脑洞大开,直接去找数据库配置文件,然后就这么结束了这段捉马旅程,没错,马就在config.php文件中

第三步:加固 防止再被挂马

 

网站域名被劫持挂马怎么处理 网站黑链清除

        对于缺乏专业维护人员的网站,建议向 360°网站安全加固 咨询,我们竭诚为您服务
        下面有联系方式,QQ,微信,您可以随时咨询,我们为您排忧解难
  • 微信客服
  • 联系免费答疑
  • weinxin
  • QQ客服
  • 联系免费答疑
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: