网站貌似被 XO，请教这种入侵方式是如何实现的

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3623 天前的主题，其中的信息可能已经有所发展或是发生改变。

利用 site:xxx.com inurl:php
出现了一堆博彩内容，而且搜索引擎显示的链接地址是xxx.com/forum.php?[1-9]酱紫的链接
但是我访问该链接又是正常的页面

搜索引擎

链接

酱紫

12 条回复 • 2014-12-30 09:42:11 +08:00

virusdefender

2014-12-29 21:31:43 +08:00

搜索引擎劫持判断user agent

blijf

2014-12-29 21:32:31 +08:00

@virusdefender 谢谢，明天学习一下

zhangjian

2014-12-29 21:33:44 +08:00

从解析上找找原因。。。

blijf

2014-12-29 22:04:10 +08:00 via Android

@zhangjian 谢谢，你是张自然吧，以前在免费吧见过:)

zhangjian

2014-12-29 22:23:18 +08:00

@blijf 嗯。

yylzcom

2014-12-29 22:29:06 +08:00

以前处理过wordpress这样的，在全站都加载的某个文件里放一段加密js，判断是搜索引擎的跳转到某些网站……

herozzm

2014-12-29 22:38:58 +08:00

@yylzcom +1 遇到过，这是原因

iyaozhen

2014-12-29 22:52:11 +08:00

我也是这样，好几个月了那些数据才慢慢消除。

我是被人改了DNS解析（被恶意泛解析了），说的就是DNSPod，查日志是通过接口被改的。

Slienc7

2014-12-29 23:31:29 +08:00 via Android

Refer 来路判断

Slienc7

2014-12-29 23:32:40 +08:00 via Android

曾在某些政府网站看到过同样手法
某关键词用百度可以找出一堆政府博彩

vz3x

2014-12-30 01:11:25 +08:00 via iPhone

虽然楼上已有正确回答、这里再补充一下、快速查找该恶意代码方法～查一下你的核心被包含文件…重点查看更改时间较新的文件、原理是通过判断head中user agent 、如果是搜索引擎爬虫则会劫持页面更改页面内容、如果不是，则显示正常，所以你看到搜索引擎里结果和你浏览器里的结果不一样.

写在后面、能劫持你收录页面了，说明你的站点已经被shell、建议先深度查杀遗留后门、补上漏洞、数据库若在同服则查看是否被开启远程连接、建议更改数据库密码、3389或ssh密码更改web后台密码更改web后台路径、上传目录禁止执行其它目录禁止写建议单独建一个小权限用户运行web应用该用户对目录操作权限应设置最小化

这样基本不会有问题了、当然服务器没被运行远控类木马的话；-）祝你好运

iiusky

2014-12-30 09:42:11 +08:00

@virusdefender 又是你