最近一个朋友求助说网站后台发布的内容在首页不更新了,第一反应是网站数据调用出错,仔细一想之前网站的内容发布更新均正常,那么肯定不是单纯的数据调用出错了,应该是网站程序被恶意篡改了。紧接着朋友又说网站首页在百度快照中显示的是赛车之类的博彩信息,很明显这是网站被黑了。
思维浅析
————
在确定了网站被黑后,立马对网站进行检查,通过搜索引擎搜索域名发现快照确实已经变成了赛车信息:
其次点击百度快照直接跳转到对方受益网站,直接输入域名查看网站源代码:
链接网站服务器,发现网站根目录下的index.php文件已经被篡改了,通过网站备份文件还原index.php文件,再次刷新网站,上图中红色方框内的源码消失,网站可正常访问。
01
—
篡改后网站代码分析:
<title>标签中的内容以及网站关键词、描述内容中,这种类似乱码的代码是转化成unicode编码后的汉字,同时第一段JavaScript通过if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1)达到仅仅修改百度搜索结果快照中的网站标题,这也就是网站被黑后,其他搜索引擎网站标题显示正常,而仅在百度搜索结果中网站标题被替换。
02
—
虽然网站当前恢复了正常,但是并没有将篡改这留在网站服务器上的后门文件(得到网站文件修改权限的木马)清除掉,如果不能清理掉后门文件,那么篡改者依然可以随时修改网站程序。
一般情况下这种后门木马文件都是以asp或者php结尾的可执行文件,这时候可先去查看网站程序文件的修改时间,在文件管理中都会显示该文件的最新修改时间,通过修改时间可以快速罗列出涉及到的文件夹,然后通过设置这些文件夹的权限,禁止asp或者php这类可执行文件的运行,防止篡改者利用后门程序再次修改网站程序。
03
—
不论网站的内容体积有多小,但其服务器中存储的文件却是成千上万个,想要找出非,这些可疑文件就需要一定的技巧了,在《SEO优化必备技能——网站日志分析》这篇文章中我们提到了“当网站出现被黑或者挂马等情况,通过分析网站日志,可疑快速的定位到可疑文件”
这里是网站日志中节选出来的部分日志记录,从记录中可疑发现,一直尝试在找一个upload.asp的可执行文件,但前几条记录中返回的状态码均为404代码,也就是说在请求路径下无该可疑文件。
需要注意的是返回的状态码为200的记录,因为返回状态码为200就是说,该访问路径下存在访问的目标文件,通过请求的URL路径可疑看出afficheimg目录下以及images目录下出现了php文件,一般的这两个目录都是存放图片文件的目录,而出现了php文件,那么可以直接确定,这些php文件并非网站原有文件,按照网站日志记录中的路径,找到目标可疑文件进行删除。
同时在日志中发现部分记录显示的是百度蜘蛛抓取可疑文件,但我们在windows平台下使用nslookup反查ip,发现这些ip为虚假蜘蛛。
写在最后
————
删除完网站的可疑文件之后,仍需要观察网站两天,导出网站日志,筛选是否有可疑请求,防止后门文件没能处理干净。同时尽快修改网站服务器密码以及FTP账号密码,尽可能降低网站再次被黑的风险。
确保网站程序正常、可疑文件处理干净之后,还需要进行最后一步操作,那就是向搜索引擎提交网站快照更新,直到网站快照恢复正常。当然黑掉网站的方式手段很多,我们并不是专业的安全人员,作为SEO我们需要对网站安全有一定了解,这里提供的只是一种比较简单的处理方式,更高级的网站安全问题还是需要专业人员去解决。
同样是做SEO,对于SEO思维和实操,不同的SEOer都有自己的见解与心得,欢迎每一位喜欢SEO的朋友留言交流!!!
