作为一个站长或者SEO来说,或多或少都会要碰到网站被降权、挂马等事件,今天跟大家分享一个自己遇到的global快照劫持的解决办法。
前一阵子发现自己做的一个站在爱站上查的时候,TKD都被篡改了,然后我赶紧看了下网站源代码,发现并没有什么变化,而且正常的不能再正常,site一下网址发现网站大部分的快照都已经被更改,全是博彩信息,然后点进去站内并没有什么变化,大致判断应该是被快照劫持了。
快照劫持最明显的特征就是global文件的改动,然后进服务器,找到global这个文件,用Notepad++打开,发现里面果然有被挂马的信息,如下:
这里截取部分代码,图1红色箭头地址是完整的木马页面信息,图23是木马针对不同的蜘蛛爬取网站的时候进行博彩信息反馈给搜索引擎,以至于所有搜索引擎site出来的快照都是博彩信息;然后我找到红色箭头地址的图片,打开果然是木马信息,如下:
然后我删掉global和boot这两文件,修改服务器密码,投诉快照,然后坐等恢复,一气呵成;正当我以为已经完全OK的时候,第二天早上发现TKD又被修改成之前的了,进服务器,之前删除的global和boot两文件又自动生成了,服务器的密码改了、文件删掉,还能自动生成,那就肯定定留后门了。接下来开始找后门,这里我给大家推荐一款还不错的免费服务器查杀工具:D盾,下载D盾,开始扫苗服务器,不出三分钟,就找到2个隐藏文件目录
删除掉之后,第二天更新快照缓存,一切恢复;然后开始做善后,再收集之前生成的快照链接的时候,又发现有一个页面存在JS跳转,所跳转的页面就是那个木马所导向的网站
然后找到该页面的JS文件,一个个检查,果然发现里面有一个JS存在跳转代码,然后用新的JS文件重新覆盖一遍之后,跳转解决。
最后整理所有的被更改的快照页面,分批向百度投诉,等待更新
这差不多就是我从这次的global快照劫持里的发现所做的一些针对工作!
最后说一句:我白帽和你黑帽就是天生势不两立!
