- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
反黑教程:手把手教你应对搜索引擎劫持攻击
很多站长可能都遇到过一种黑客攻击方式,就是在搜索引擎结果页中看到自己的网站,但是点开后却跳转到一些其他网站,比如博彩,虚假广告,淘宝搜索页面等等。
这种情况产生的直接后果就是:
用户流失。试想如果你做的是个电商网站,做了很多的SEO优化或者竞价排名后,用户却再也无法通过搜索引擎找到你的网站,这是多么悲催的一件事。
网站被拦截。如果你的网站被劫持到一些非法站点上导致网站被标记为非法、赌博或者恶意代码时,可能直接会被各种浏览器和搜索引擎标记为“恶意网站”从而直接拦截。世间最痛苦的事莫过于此,我是好人,特么的可我被人阴了……
可信度降低。你苦心经营网站多年,树立口碑不容易。一日被黑,日日被劫持。从此以后用户通过搜索引擎打开你的网站不是色情就是赌博。正常业务啥都没了,也别再谈什么可信度和口碑了。
其实当站长们遇到搜索引擎劫持时根本不用慌,我先提供两种解决方案:
1、阅读本文
2、直接联系QQ:800034239 (美女黑客的一对一服务)
回到正题,昨天晚上有个用户找到我,说是网站搜索结果页被劫持了,弄现在到处都认为他的网站是个博彩网站,各路封杀蜂拥而至。今天一上班就帮这个用户把网站处理干净,同时也加入了网站卫士的防护体系,整理出排查问题的全过程供各位站长们参考。
分析中使用到的工具:Fiddler (官网:/fiddler),国内很多下载站也能下到这个工具。
场景重现:用户在百度输入:XXX(他网站的关键字)
结果页中能看到,但是点开后立刻跳转到一个博彩网站:/
然后的故事大家都知道了,悲剧如下图:
手把手第一步:判断劫持方式
这一步主要判断当前劫持是通过javascript代码实现还是通过PHP/ASP等脚本代码实现。
打开fiddler,先按F11下个HTTP请求断点,然后点击百度结果页,去fiddler里看请求。点一下右边绿色的这个按钮
每点击一步,就会通过一个请求。从结果看到本次搜索引擎劫持只用了3步,此时我们能得出一个结论:本案例中的这个网站劫持是通过PHP程序代码实现的劫持,劫持过程如下图:
从百度链接点过来会跳到用户网站本身,此时没有加载任何js和css等资源就直接又跳到博彩网站86896.com。
这一步是如何实现从用户网站跳转到博彩网站的呢,原理其实很简单,请看下图:
这个跳转的HTTP请求代码是302,通过一个location重定向到博彩网站。由于该网站使用的是PHP程序,在PHP里通过header()函数即可实现页面重定向。
手把手第二步:查找可疑代码
既然知道了劫持的原理和目标博彩网站,就比较容易查出恶意代码了。该用户的服务器是windows2003,通过远程连接上去,在windows系统下可以用findstr命令轻松查找任意文本所在的文件位置。在本案例中我们只需要查找哪些文件里出现了86896这个关键字即可。命令行下构造查询命令如下:
findstr /s /i “86896″ D:\web\\*.php
关键字后面跟的是网站根目录,这行命令的意思是遍历网站根目录下的所有php文件,查找出其中包含“86896“字符的文件。执行这个命令我们可以得到以下结果输出:
通过结果可以很明显的看出,黑客入侵了该网站并且修改了discuz论坛里\source\class\class_core.php这个核心文件,在这个文件里面加入了实现劫持的location跳转恶意代码。
这个黑客植入的恶意代码还是比较“小白“的,没有用任何加密等其他隐藏手段,直接可以通过关键字查找出来。完整的恶意代码如下图:
这段恶意代码的功能就是把所有user-agent和referer里包含搜索引擎信息的网站访问请求内容全部劫持为博彩网站,帮用户删除这一段PHP代码后,网站就立刻恢复正常啦~
通过这个案例分析,希望让站长知道,这种搜索引擎流量劫持攻击的技术含量并没有那么深不可测,通过两个步骤:
首先判断劫持方式,如果是js代码劫持,找出来恶意js代码删除就行,如果是脚本劫持,请参考本文介绍的方式。
其次就是用findstr(windows)命令或者grep(linux)命令去服务器上找出恶意代码所在的文件,删除恶意代码即可。
您可能关注的文档
- 计算机网络安全与职业道德.docx
- 渗透测试发展史.docx
- 网络安全概述.docx
- OSI协议之http协议解析.docx
- DirBuster获取网站目录敏感信息.docx
- 渗透测试中指纹识别原理分析.docx
- 信息刺探Google Hacking的介绍与使用.docx
- 网络抓包工具Wireshark入门教程.docx
- 端口扫描工具Nmap使用教程.docx
- 网络抓包工具Fiddler 的基本使用.docx
- 专卖店促销员销售与成交技巧培训课件(34P).pptx
- 红色商务风新员工入职销售技巧知识培训课件(34P).pptx
- 专卖店商场销售员销售与成交技巧培训课件(34P).pptx
- 小区物业保安法律知识培训课件(28P).pptx
- 专卖店销售员轻松成交技巧培训(34P).pptx
- 轻松成交客户新员工入职通用销售技巧知识培训(34P).pptx
- 2024年初级《银行业法律法规与综合能力》考前必刷必练题库500题(含真题、必会题).docx
- 2024年“新安法知多少”知识竞赛题库及答案(最新版).docx
- 2024年30秒毕业生面试工作自我介绍.docx
- 2024年《医务人员礼仪培训》心得体会.docx
最近下载
- 2023年上海市中考英语试卷及答案.docx
- Zippo-2022原版年册(哈雷戴森系列).doc VIP
- 文言文阅读教学设计 王荣生.pdf VIP
- 请分析“两弹一星”精神的内涵是什么?作为新时代中国特色社会主义的年轻人,如何继承和弘扬这种精神?试述辛亥革命的意义和局限是什么?.docx
- 大宗商品电子交易市场电子商务平台解决方案.pdf
- 黑布林阅读初二13《鲁滨逊漂流记》中文版.pdf
- Zippo哈雷戴森系列年册1996-2021年全册合并(共26册).docx VIP
- 幼儿早教中动手科学实验的引导.pptx VIP
- 口腔护理个案优秀案例ppt.pptx
- BEPS行动计划简介及中国落地实践(吴建民).pptx
文档评论(0)