第二种:利用字典文件繁殖文章使用include包含引用提交给搜索引擎实施劫持
字典文件是一些关键词文件为文章生成提供资源,生成劫持静态文件放到要引用的文件中,根据SEO知识可知一般目录都不会太深,比较深的一般会有sitemap文件放在根目录引导蜘蛛爬取,平时注意下你的目录下sitemap.txt是否被篡改。
第一种是最简单粗暴的加到页面header文件里面引导蜘蛛。第二种相对更加隐蔽些,只需在Include中加上劫持目录即可。
Include引用代码:
- @include($_SERVER[‘DOCUMENT_ROOT’].PACK('H*','2F646174612F737973646174612F30'));
复制代码
【处理方法】解密代码:2F646174612F737973646174612F30 解蜜后为:/data/sysdata/0查看此目录找到并清理木马文件。
00X3 DZ论坛挂马常被反复篡改的文件
function_core.php、discuz_application.php、class_core.php、config_global.php注意排查。
一定有很多站长会遇到这个问题,不论怎么修改FTP密码,换服务器...class_core.php文件还是反复被挂马,class_core.php文件反复被挂马什么原因?一会是class_core.php被修改,一会是config_global.php被修改。那是因为木马后门已经扎根在你cms程序内部了,会时刻被唤醒使用。
class_core.php常被插入劫持<head>以上部分代码,就是第一种html声明劫持。查看源码看不到任何信息,只能抓取诊断。
为防恶意使用,仅贴出部分代码。
- error_reporting(0);
- $S9 = explode("|",_decode('NTguMjQ3fDE4MC4xNTZ8MTgwLjE1NnwxMTcuMTc3fDU5LjE3MnwxNzEuODN8MTE0LjgyfDYxLjE3Mg=='));
复制代码
00X4 网站快照被劫持解决方法
1、进discuz后台找到工具-文件校验,找到最近被修改的php文件与源文件对比下。
2、dz的文件校验不会检查utility文件夹,除了upload里的文件,其他辅助功能文件一般用不到,如上传了请删除,避免被黑客利用。
3、使用后台文件校验看修改文件,UCcenter校验UC文件修改。
4、网站目录使用时间排序方式,查看最近修改的文件有没有可疑。
5、404态设置到位,可很大程度避免收录不存在的趣味劫持页面。
6、看网站目录内有没有被上传的tools目录或tools类型文件。
7、要有一查到底的决心,不然很难找到黑客埋藏的根基。
8、多方位加强防护,让劫持死于摇篮...
00X5 如何发现监测网站被劫持了