網站老被劫持快照被黑怎麼修復解決
最近很多公司的網站被劫持跳轉到了bo彩、cai票網站上去,客戶從百度點選進去會跳轉,直接輸入網站的域名不會跳轉,網站快照也被劫持成bo彩的內容,site檢視網站在百度的收錄也出現問題,收錄了很多cai票內容,有些客戶的網站還被百度網址安全中心攔截,提示網站存在違法資訊。
那麼到底什麼是網站被劫持?我給大家簡單的講解一下,攻擊者利用網站的漏洞或者暴力破解網站後臺進行攻擊網站,拿到網站管理員許可權後,進而篡改網站的首頁檔案,標題以及描述被篡改成bo彩內容,並吸引百度的蜘蛛進行抓取收錄,當百度快照更新後,bo彩的一些關鍵詞就會排名到百度首頁上去,攻擊者利用這個方法來獲取客戶源,以及流量。
那麼如何處理解決網站被劫持的問題呢?
正好這幾天我們剛處理完一個客戶的網站劫持問題,這個客戶網站被黑了,通過朋友介紹找到我們SINE安全公司,他說網站快照被劫持了,從百度開啟網站會直接跳轉到bo彩網站上去,直接輸入網址不會跳轉,還有就是在百度搜索網站域名,會出現百度網址安全中心提醒您:該頁面可能存在釣魚欺詐資訊!的紅色百度攔截提示。如下圖:
客戶說這個網站被劫持問題發生1個多月了,一開始被劫持跳轉的時候沒當回事,只是篡改了網站首頁,覆蓋還原回去就沒問題了,過不了幾天又被篡改了,反反覆覆的篡改導致目前百度開始攔截網站了,網站的關鍵詞排名都掉了。
上述特徵都是網站被劫持的症狀,我們首先跟客戶要了網站的相關資訊,FTP賬號密碼,以及網站後臺的管理員賬號密碼,連線網站,對客戶網站程式碼進行下載,我們本地對網站的程式碼進行安全檢測,發現網站首頁被添加了一段Unicode編碼,都是數字字元,如下圖所示:
對Unicode編碼進行解密發現內容是一些cai票內容等內容。這一些都是攻擊者篡改的內容,我們立即對其進行強制刪除,網站首頁恢復正常,沒有再跳轉,我們仔細的檢查了網站是否存在木馬後門,發現在網站資料庫配置檔案裡添加了一句話的網站木馬程式碼,攻擊者可以利用這個網站木馬檔案直接篡改首頁,在根目錄下的head.php檔案也被攻擊者篡改,寫入了webshell程式碼,可以直接對網站進行控制,上傳程式碼,下載,修改等操作。我們SINE安全對以上發現的木馬後門進行了刪除。
那麼網站為何被篡改,並上傳了木馬webshell檔案呢?最根本的原因是網站存在漏洞,需要對網站的漏洞進行檢測與修復,我們對客戶的網站進行漏洞檢測,發現網站存在sql注入漏洞,攻擊者可以通過惡意的sql語句對網站資料庫進行查詢,更改,等管理員的操作,我們第一時間想到的就是網站的後臺被登陸了,我們檢視網站日誌,果然發現問題,立即對SQL注入漏洞進行了修復,對有問題的程式碼進行了安全過濾,防止非法引數的寫入,對客戶網站的後臺進行了二次密碼安全驗證,修改了預設後臺地址,網站被劫持的問題得以解決。
關於網站被劫持的處理建議:
1.對網站的首頁檔案進行安全檢測,看下標題,描述是否被新增Unicode編碼的字元。
2、首先清理這些惡意程式碼,如果是伺服器,可以遠端登入桌面操作,如果是虛擬主機,可以通過FTP下載下來進行刪除。
3、開啟網站程式碼,手工進行清理,如果很多檔案都有,可以通過批量替換方式來清理這些惡意程式碼。
4、一般你網站上都會有網站木馬檔案,找到這些木馬檔案進行刪除。
5、漏洞的修復,可以對比程式系統的版本進行升級,也可以找程式設計師進行修復,如果是你自己寫的網站熟悉還好,不是自己寫的,建議找專業的網站安全公司來處理解決網站被劫持的問題,像Sinesafe,綠盟那些專門做網站安全防護的安全服務商來幫忙。
以上就是關於網站被劫持問題的處理解決辦法,如果您一直被劫持的問題困擾可以根據我們處理的過程一步一步來操作,靜下心來肯定會找到跳轉的程式碼,刪除程式碼對其網站漏洞進行修復就可以根治網站被劫持。