摘要
![]()
今天,我帮助一位站长解决了一个discuz网站快照被劫持的案例,并讲述了具体的解决过程:一,网站快照劫持的表现进入百度:360等搜索引擎,搜索结果中
今天,我帮助一位站长解决了一个discuz网站快照被劫持的案例,并讲述了具体的解决过程:
一,网站快照劫持的表现
进入百度:360等搜索引擎,搜索结果中有色情、赌博毒品等非法信息。网站快照劫持的主要表现是360和搜狗的快照被劫持,而百度的没有被劫持。
360搜索快照被劫持
从这些信息中,可以得出结论,这起劫机案件是根据程序判断的,具体是劫持360搜索。为什么劫持360而不是百度快照?
我认为原因应该是:作为一个网站管理员,有很多网站在百度上使用站点命令。一旦网站挂了,很快就会被发现。然而,在360搜索中使用站点命令的站长并不多,所以挂马不容易被找到,可以停留更长时间。
其次,使用discuz后台工具-文件验证来排除异常文件
所有使用discuz建立网站的站长必须学会使用这个工具。它可以引导您快速缩小文件搜索范围。用这个工具检查后,我们发现网站根目录下的index.php和portal.php的文件最近被修改了。用源文件覆盖上述两个文件后,快照劫持仍然存在。
第三,根据以往排查马匹的经验,发现了可疑目录
我检查了之前文章中提到的可疑目录:数据/头像/0。我看到了可疑文件“0”。
这个文件有一个隐藏的后缀,所以不容易找到。将文件下载到本地后,用记事本打开,最终找到庐山的真面目。
上面红色方框中的内容是加密的。为了更好地了解马挂的地方,我已经解密了它。在底部的红色方框中,我们看到一个“文档根”。解密后,我们得到一个目录
目前评论:0 条
发表评论 取消回复