目前已遇到兩例discuz網(wǎng)站百度快照被劫持的例子����,一般快照被劫持很難被發(fā)現(xiàn)�。
被劫持的表現(xiàn)為:
在百度中輸入自己的網(wǎng)址,出現(xiàn)被收錄的帖子鏈接���,點(diǎn)擊后就跳轉(zhuǎn)到菠菜網(wǎng)站等���。
下面講下如何解決該問題:
進(jìn)discuz后臺(tái)找到工具-文件校驗(yàn),看下最近有哪些php文件被修改了��。
1����、排查網(wǎng)站源文件的php 文件,查看是否有出現(xiàn)IP地址�、或者異常網(wǎng)站(上面跳轉(zhuǎn)的網(wǎng)站),如果有刪除就可以了�����。
2、排查網(wǎng)站源文件的php 文件�����,查看是否有如下代碼:@include($_SERVER[‘DOCUMENT_ROOT’]
如果有就刪除此段代碼��。并把該段代碼進(jìn)行解密���。
舉例:@include($_SERVER[‘DOCUMENT_ROOT’].PACK('H*','2F646174612F6176617461722F30'));
需要解密的代碼為:2F646174612F6176617461722F30
解密后為:/data/avatar/0
意思就是在上述路徑下存在被非法上傳的文件,用于做快照劫持�。
解決辦法:刪除上面的代碼和文件即可。
掛馬問題解決了后�����,記得更改服務(wù)器相關(guān)的各種密碼�,盡量設(shè)置的復(fù)雜一點(diǎn)。
