2022年百度自然排名受到很大的影響，但作為站長(zhǎng)每天忙碌的就是發(fā)文章做優(yōu)化，讓網(wǎng)站有更好的排名從而帶來(lái)許多客戶(hù)，但近網(wǎng)站總是中毒信息被篡改，導(dǎo)致快照內(nèi)容被篡改，網(wǎng)站目錄下的頁(yè)文件總是被反復(fù)篡改，說(shuō)到這里，很多做站長(zhǎng)的特別能理解網(wǎng)站中毒后帶來(lái)的損失，輕則排名下降，重則降權(quán)，那么由網(wǎng)站漏洞修復(fù)的SINE安全技術(shù)為大家詳細(xì)介紹。
被黑，打開(kāi)竟然跳轉(zhuǎn)到博cai上去了，一開(kāi)始以為自己看錯(cuò)了，多次從百度點(diǎn)擊自己進(jìn)去，還是會(huì)跳轉(zhuǎn)到彩piao上，反應(yīng)是自己的被黑了，經(jīng)營(yíng)很多年了，從來(lái)未遇到過(guò)這種情況。
先來(lái)看下被黑的情況，從百度里輸入自己的域名，發(fā)現(xiàn)自己的快照被改成什么北京sai車(chē)，北京等等內(nèi)容，還被百度提示，說(shuō)什么百度網(wǎng)址安全中心提醒您：該頁(yè)面可能已被非法篡改！搞的我頭都大了，我說(shuō)呢近的排名下降的厲害，原來(lái)是被黑，導(dǎo)致被降權(quán)，客戶(hù)都搜索不到我們公司了。
那么該如何解決被黑？ 防止被黑呢？
我從百度里查詢(xún)了好多關(guān)于為什么被黑的原因，總結(jié)了一下，首先被黑的根本原因是存在著漏洞，攻擊者利用的漏洞，進(jìn)入了的后臺(tái)。再一個(gè)原因是的后臺(tái)管理員賬號(hào)密碼比較容易猜測(cè)到，F(xiàn)TP的賬號(hào)密碼也被容易猜測(cè)到，還有就是存在上傳的漏洞，導(dǎo)致可以上傳木馬后門(mén)進(jìn)來(lái)。
大體上我了解清楚了，被黑的主要原因是：我的有漏洞，這個(gè)一開(kāi)始的建設(shè)，設(shè)計(jì)都是我在負(fù)責(zé)，采用的是ecshop商城系統(tǒng)，php+Mysql數(shù)據(jù)庫(kù)架構(gòu)開(kāi)發(fā)的，存在漏洞，那就要檢查的漏洞到底是在哪里，包括存在哪些后門(mén)，病毒什么的。連接我們的FTP，下載了所有代碼，圖片，數(shù)據(jù)庫(kù)文件到自己的電腦里，百度搜索ecshop漏洞，查看近出現(xiàn)的ecshop漏洞詳情以及如何利用，查看了自己的代碼，再來(lái)對(duì)比漏洞產(chǎn)生的代碼，發(fā)現(xiàn)了問(wèn)題，確實(shí)存在漏洞，存在sql注入漏洞，這個(gè)漏洞可以查詢(xún)的管理員賬號(hào)密碼，攻擊者知道的后臺(tái)賬號(hào)密碼，那么就可以進(jìn)入到我們的后臺(tái)，我查看了ecshop后臺(tái)登陸記錄，發(fā)現(xiàn)有一個(gè)來(lái)自中國(guó)香港IP的登陸，然后看了他的操作記錄，是上傳了一個(gè)PHP腳本文件到我的里，追尋著他的操作記錄，我打開(kāi)了這個(gè)PHP腳本文件，打開(kāi)后，我發(fā)現(xiàn)這個(gè)PHP文件功能很強(qiáng)大，可以修改我的任何文件，以及上傳，下載，修改文件的權(quán)限，都是可以的。通過(guò)百度搜索，這個(gè)PHP腳本文件竟然是webshell，簡(jiǎn)單來(lái)講是的木馬后門(mén)，可以對(duì)進(jìn)行控制。
掉這個(gè)后門(mén)，再根據(jù)這個(gè)后門(mén)代碼的特征進(jìn)行搜索，看看還沒(méi)有其他的后門(mén)了，搜索了一下沒(méi)有再發(fā)現(xiàn)，接下來(lái)就是要對(duì)的漏洞進(jìn)行修復(fù)，查看了ecshop漏洞的修復(fù)方案，對(duì)產(chǎn)生漏洞代碼進(jìn)行了更改，數(shù)組與轉(zhuǎn)換模式的代碼更新即可。辛虧我對(duì)代碼這塊懂一些，如果對(duì)代碼不是太懂的話(huà)，建議找安全公司幫你修復(fù)漏洞，清理掉的木馬后門(mén)，防止再被黑。
打開(kāi)還是會(huì)跳轉(zhuǎn)到博cai，看了下首頁(yè)代碼竟然被添加了一些加密的內(nèi)容,如下：
標(biāo)題以及描述，都被改成這樣了，清理掉這些代碼后，沒(méi)有再被跳轉(zhuǎn)了,以上就是我解決被黑問(wèn)題的整個(gè)過(guò)程，如果您的也被黑，也可以按照我的這個(gè)方法去解決試試。
被黑的總結(jié)和解決辦法
被黑，導(dǎo)致排名掉的，要盡快恢復(fù)到安全狀態(tài)，的漏洞要盡快的修復(fù)，經(jīng)常查看下的后臺(tái)有沒(méi)有提示要升級(jí)到新版本，再一個(gè)重要的是管理員的密碼一定要復(fù)雜，越復(fù)雜越好。也可以找安全公司去處理，國(guó)內(nèi)SINE安全公司，綠盟安全，啟明星辰安全都是比較的。在一個(gè)就是要多備份下自己的，多備份，多更新補(bǔ)丁，一定沒(méi)錯(cuò)的。

2019年很多公司遇到被黑的問(wèn)題,因?yàn)榇蠖鄶?shù)用的都是一些主流，開(kāi)源的cms系統(tǒng)開(kāi)發(fā)的程序,還有的公司找的當(dāng)?shù)亟ㄔO(shè)公司去做的,而天天被黑的遭遇找到建設(shè)公司也只能解決一時(shí),沒(méi)過(guò)多久又被黑了，具體的情況特征以及如何解決被黑,下面由國(guó)內(nèi)安全公司的Sine安全技術(shù)來(lái)為大家逐一解答.
什么是被黑?
被黑是因?yàn)榈某绦虼a存在漏洞以及后門(mén)木馬導(dǎo)致的被黑,都是通過(guò)的各個(gè)漏洞,比如跨站腳本攻擊,getshell以及圖片上傳,和sql注入攻擊,以及等等手法拿到了的高權(quán)限上傳了腳本后門(mén)也俗稱(chēng)webshell木馬,這也是為何清理了木馬代碼而又被反復(fù)篡改攻擊的主要原因。
被黑具體表現(xiàn)
從百度搜索公司名稱(chēng)或域名顯示的快照內(nèi)容不符,一般都是顯示一些du博內(nèi)容,點(diǎn)擊進(jìn)入會(huì)跳轉(zhuǎn)到其他，如果直接從瀏覽器里輸入域名打開(kāi)的話(huà)就顯示正常,再一個(gè)檢查下首頁(yè)的程序文件里有無(wú)可疑加密的代碼如下圖：
而且有的可能會(huì)在百度搜索中看到提示網(wǎng)址安全中心風(fēng)險(xiǎn)的紅色標(biāo)識(shí)：
如果這幾種狀況有其一,出現(xiàn)了的話(huà)那么說(shuō)明你的已經(jīng)被黑了,一般這種被跳轉(zhuǎn)的情況都是反復(fù)性質(zhì)的被篡改,因?yàn)楣境霈F(xiàn)問(wèn)題后首先想到的就是找當(dāng)初的建設(shè)公司來(lái)處理,但是他們只能是把原先的備份文件給你替換上去,這只能是一時(shí)的,沒(méi)過(guò)多久就又出現(xiàn)被黑的了,很多公司都是做的百度推廣都是被停止了投放,必須要恢復(fù)正常訪(fǎng)問(wèn)才能投放廣告,這一點(diǎn)是損失公司利益的,那么既然了解了這個(gè)的表現(xiàn),那么接下來(lái)就是重要的解決辦法了.
被黑怎么解決處理
首先你要知道所使用的空間是虛擬主機(jī)還是單服務(wù)器,大部分的公司都是虛擬主機(jī),那么只要知道ftp信息即可操作，如果是單服務(wù)器的話(huà)必須要知道遠(yuǎn)程端口以及管理信息，首先登陸ftp后查看目錄下的index.php或index.html文件看看被修改時(shí)間,然后再仔細(xì)尋找這個(gè)時(shí)間段文件然后對(duì)比下本地的備份看看是否是可疑或是新增加的,如果是的話(huà)直接一并,而首頁(yè)文件被增加的加密代碼只要去掉加密和跟隨js代碼就可以了,如果有備份的話(huà)直接替換即可.做好這些步驟后就可以恢復(fù)正常訪(fǎng)問(wèn)了,剩下的問(wèn)題就是要對(duì)的漏洞進(jìn)行修復(fù)了，對(duì)代碼不是太懂的話(huà)，也可以找的安全公司來(lái)解決被黑的問(wèn)題。
如何修復(fù)漏洞?
對(duì)程序代碼進(jìn)行安全檢測(cè),檢查sql查詢(xún)語(yǔ)句是否帶有符號(hào)之類(lèi)的操作,應(yīng)過(guò)濾一些非法參數(shù)，對(duì)于圖片的上傳進(jìn)行后綴嚴(yán)格控制,對(duì)圖片上傳的目錄進(jìn)行腳本權(quán)限設(shè)置,只允許靜態(tài)文件訪(fǎng)問(wèn)不允許動(dòng)態(tài)腳本訪(fǎng)問(wèn),檢查留言功能提交是否過(guò)濾一些符號(hào),看下的后臺(tái)目錄是否使用一些默認(rèn)的文件名如admin,manage,houtai等等的目錄名,管理員的密碼使用10到16位大小寫(xiě)字母加數(shù)字加符號(hào)的組合，如果自己懂程序，那就可以自己針對(duì)代碼的漏洞進(jìn)行漏洞修復(fù)，不懂的話(huà)，就請(qǐng)的安全公司來(lái)完善一下程序上的某些代碼漏洞。

做的人怕什么?肯定是怕自己的被黑掉，如何知道判斷自己的被黑呢?如果被黑以后怎么辦呢?下面我來(lái)告訴大家。
一、如何判斷被黑
先通過(guò)外界對(duì)進(jìn)行觀察，如果有如下現(xiàn)象，那您的可能被黑了
1、通過(guò)百度站長(zhǎng)平臺(tái)的索引量工具，發(fā)現(xiàn)站點(diǎn)收錄量大增;再通過(guò)搜索關(guān)鍵詞工具發(fā)現(xiàn)，站點(diǎn)獲得流量的關(guān)鍵詞中有很多與本站點(diǎn)無(wú)關(guān)。
2、通過(guò)Site語(yǔ)法查詢(xún)站點(diǎn)，顯示搜索引擎收錄了大量非本站應(yīng)有的頁(yè)面。
注：site查詢(xún)結(jié)合一些常見(jiàn)的違規(guī)類(lèi)關(guān)鍵字，可幫助站長(zhǎng)更快的找到異常頁(yè)面
3、從百度搜索結(jié)果中點(diǎn)擊站點(diǎn)頁(yè)面，跳轉(zhuǎn)到了其他站點(diǎn)。
4、站點(diǎn)內(nèi)容在搜索結(jié)果中被提示存在風(fēng)險(xiǎn)。
5、從搜索引擎帶來(lái)的流量短時(shí)間內(nèi)異常暴增。
如何判斷被黑和被黑處理方法
二.被黑處理方法
1、立即停止服務(wù)，避免用戶(hù)繼續(xù)受影響，防止繼續(xù)影響其他站點(diǎn)(建議使用503返回碼)。
2、如果同一主機(jī)提供商同期內(nèi)有多個(gè)站點(diǎn)被黑，您可以聯(lián)系主機(jī)提供商，敦促對(duì)方做出應(yīng)對(duì)。
3、清理已發(fā)現(xiàn)的被黑內(nèi)容，將被黑頁(yè)面設(shè)置為404死鏈，并通過(guò)百度站長(zhǎng)平臺(tái)“死鏈提交工具”進(jìn)行提交。
4、排查出可能的被黑時(shí)間，和服務(wù)器上的文件修改時(shí)間相比對(duì)，處理掉上傳、修改過(guò)的文件;檢查服務(wù)器中的用戶(hù)管理設(shè)置，確認(rèn)是否存在異常的變化;更改服務(wù)器的用戶(hù)訪(fǎng)問(wèn)密碼。
注：可以從訪(fǎng)問(wèn)日志中，確定可能的被黑時(shí)間。不過(guò)可能也修改服務(wù)器的訪(fǎng)問(wèn)日志。
5、做好安全工作，排查存在的漏洞，防止再次被黑。
后覺(jué)得防治防治，防大于治，平時(shí)要做好的文件備份與數(shù)據(jù)庫(kù)備份，即使被黑了，也不用擔(dān)心，可以東山再起，建議一個(gè)星期備份一次，不要怕麻煩，如果真沒(méi)有備份，到時(shí)候后悔都來(lái)不及。

首先我們會(huì)對(duì)當(dāng)前服務(wù)器的IP，以及IP的地址，linux服務(wù)器名稱(chēng)，服務(wù)器的版本是centos,還是redhat，服務(wù)器的當(dāng)前時(shí)間，進(jìn)行收集并記錄到一個(gè)txt文檔里，接下來(lái)再執(zhí)行下一步，對(duì)當(dāng)前服務(wù)器的異常網(wǎng)絡(luò)連接以及異常的系統(tǒng)進(jìn)程檢查，主要是通過(guò)netstat -an以及-antp命令來(lái)檢查服務(wù)器存在哪些異常的IP連接。并對(duì)連接的IP，進(jìn)行歸屬地查詢(xún)，如果是國(guó)外的IP，直接記錄當(dāng)前進(jìn)程的PID值，并自動(dòng)將PID的所有信息記錄，查詢(xún)PID所在的linux文件地址，緊接著檢查當(dāng)前占用CPU大于百分之30的進(jìn)程，并檢查該進(jìn)程所在的文件夾。
要時(shí)刻保持備份，一旦發(fā)生中毒網(wǎng)站文件被篡改的問(wèn)題直接先恢復(fù)備份，恢復(fù)正常訪(fǎng)問(wèn)，以免遭到降權(quán)，要檢查近修改的文件，以及網(wǎng)站后臺(tái)登錄記錄看看有無(wú)可疑的IP，如果是單服務(wù)器的話(huà)，要檢查服務(wù)器中的所有網(wǎng)站看看可疑的腳本文件，檢查附件目錄有無(wú)腳本后綴的文件，也可以對(duì)訪(fǎng)問(wèn)日志進(jìn)行溯源，就會(huì)查到蛛絲馬跡，主要的一點(diǎn)就是對(duì)程序代碼進(jìn)行安全審計(jì)，進(jìn)行網(wǎng)站漏洞修復(fù)，因?yàn)槿绻愎饪炕謴?fù)備份來(lái)解決問(wèn)題的話(huà)是治標(biāo)不治本的，因?yàn)槁┒词谴嬖诘模业絾?wèn)題的根本，如果對(duì)代碼不熟悉的話(huà)可以向網(wǎng)站漏洞修復(fù)公司尋求幫助，像SINESAFE，鷹盾安全，啟明星辰等都是對(duì)網(wǎng)站漏洞修復(fù)有著數(shù)十年的實(shí)戰(zhàn)安全防護(hù)經(jīng)驗(yàn)。
http://www.agrivod.com