- A+
今天 遇到一位网友联系我们 360°网站安全加固 求助的网站劫持问题
一般情况下你的网站并不是被特地入侵的,一般出于报复专门入侵你的网站也不会明目张胆的来劫持。
所以一般网站劫持会被用来发布灰色广告,或者被用来做黑帽SEO。之所以你的网站被入侵,是挂马者使用批量getshell工具,根据某个漏洞来批量拿到具有相同漏洞的网站,然后再将相关劫持代码加入到你的网站程序中,而这一系列动作都是用工具批量完成
挂马症状
长话短说,一般你会在搜索结果搜索相关关键词,或者自己的网址,看到的标题可能不是自己的网站标题,点击进去可能会跳转到其他地方,或者进去后发现网站已物是人非。
如:
本来是一个PS网站标题变成羞羞的内容,而内容已经不(wo)堪(hen)入(xi)目(huan)
劫持分析
这种情况很明显挂马脚本对user-agent进行了判断,如果user-agent是百度蜘蛛,那么将返回广告。
一般会在网站程序插入JS,或者在php或者其他程序中插入代码,如果是js,一般只要远程调用一个就可以实现劫持,插入代码量很少。
第一步:审核元素中查看网络连接
网站正常打开的时候先看看没有加载异常的脚本
其中加载的js都打开简单看下没有发现异常的脚本。
第二步:找木马
这时候妹纸把网站程序源码包发过来了,ps:妹纸防备着呢,不给服务器权限,但是给了源码还是给了一切啊!虽然没有什么可利用的地方,但我起码知道里面绝对藏着shell呢!
一般挂马程序都是会直接把黑链代码插到index.php中,不会判断太多,这种情况出现在企业站中比较多,所以很自然的打开index.php,发现没有异常,也没有include异常php文件。
看到这里瞬间觉得这个套路还是有点深度的,起码没那么明显。
继续找加载的文件,这时候脑洞大开,直接去找数据库配置文件,然后就这么结束了这段捉马旅程,没错,马就在config.php文件中
第三步:加固 防止再被挂马
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑