通过百度APP访问网站发现网页被窜改是什么原因?

燕山网络科技2022-06-0262

最近有客户的网站遇到了这么一个情况,通过pc端和手机端浏览器可以正常访问网站,而且在pc端浏览器右键查看网页源代码,网站代码没有被窜改。

但是通过百度app访问网站时却发现,网页头部被加上了乱七八糟的内容,等于在网站头部嵌入了一个黑客恶意推广的网站。再加上,百度app是手机浏览器,无法直接查看网站源代码,所以客户也不知道网页源代码都被加了什么东西。

首先,已知客户的网站是某款知名的php建站系统搭建的,而这款php建站系统的安全性能口碑是很高的,极少出现用户网站被黑的情况,当然不会被黑的前提是用户的服务器足够安全。

因此,我首先怀疑到是用户服务器的安全漏洞导致了网站被黑。

一般处理网站被黑的当务之急是先恢复网站的正常访问,再去找到网站被黑的原因。

由于网页被窜改的情况只出现在百度app上,因此我们需要在pc端浏览器模拟百度app的UA来访问客户网站,由此查看网页源代码,看到被窜改后的代码内容。

我们发现黑客是很狡猾的,他基于浏览器UA信息做了设备判断(如下图所示),通过百度搜索、神马搜索、搜狗浏览器,360搜索,360好搜,搜搜等搜索网站或搜索软件访问网站时,就会看到被篡改后的网页。

通过百度APP访问网站发现网页被窜改是什么原因? 百度APP 建站  第1张

而我们查看被窜改的网页源代码,就可以通过模拟这些搜索网站或搜索软件的UA信息访问网站来实现。

被篡改的网页源代码如下图所示:

通过百度APP访问网站发现网页被窜改是什么原因? 百度APP 建站  第2张

通过百度APP访问网站发现网页被窜改是什么原因? 百度APP 建站  第3张

简言之,是在原网页的body标签上面又加入了一个网页。

由于客户的网站使用的是伪静态,并非纯静态,而且检查网站模板也没有被窜改,因此可以黑客是通过篡改用户网站程序的核心配置文件来实现在PHP层面上篡改网页内容的。

好在,客户使用的网站程序支持在网站后台一键“校验当前版本的系统核心文件”,因此通过该功能,我们很快找到网站程序被窜改的文件,那么,我们用网站程序的原始文件,替换被窜改的文件,网站就恢复正常了。

在被窜改的系统核心文件中,我们看到如下代码:

通过百度APP访问网站发现网页被窜改是什么原因? 百度APP 建站  第4张

截图中的ip地址,就是黑客给客户网站分配垃圾网页信息的。

通过这个ip,我们甚至可以找到黑客网站和黑客本人。当然,是不是他本人也说不定,也有可能是他买的别人的技术。

下面,我们假设使用这个ip的主人就是黑客本人。

为了避免被黑客报复,因为这个黑客居然也是买过我网站模板的一个客户,由于敌人在暗,我在明,我就不公开ip了。

怎么才能有效地举报这样的黑客,有大佬能不能给我提提意见?


继续说,黑客是怎么黑入我上面这位客户的网站呢?

遗憾的是,该客户使用的是虚拟主机,能调取的只有网站日志,而没有服务器日志(应该有,但是该客户反应,他使用的虚拟主机空间商网站客服都是外国人,且只能通过邮件沟通,特别难打交道)。

另外,黑客窜改系统核心文件以后,系统核心文件的修改时间居然也没有变。

通过百度APP访问网站发现网页被窜改是什么原因? 百度APP 建站  第5张

咨询过大佬后得知,是可以通过某些工具强行修改文件的修改时间的。而黑客就是利用了这样的工具,修改系统核心文件以后,文件的最后修改时间却没有变。

这样一来,一旦无法查看服务器的运行日志,我也就没有办法找到黑客入侵网站的方法了。

当然,还有一个方法,我有这个黑客的qq,可以直接问他,但是他肯定不会承认的吧!问他会被他当成傻子吧!


当然,客户网站被黑的最大可能性是服务器漏洞,即该客户使用的虚拟主机所在的服务器有漏洞,被人提前种下了木马程序,通过木马程序窜改了他网站的系统核心文件。

另外,这个客户使用的是国外某品牌的虚拟主机,发现网站被黑的时间刚好是网站从阿里云搬家到国外虚拟主机之后。

那么,恰恰可以说明,国外该品牌的服务器存在安全漏洞(一台服务器上很多虚拟主机),受限于虚拟主机无法自主安装安全软件,最终我给该客户的建议是,更换其他品牌的虚拟主机。

本文链接:https://www.hnysnet.com/wangzhan/4732.html 转载需授权!

网友评论

最新发布

分享

复制链接

燕山网络科技在线咨询

上班时间:9:00-22:00
周六、周日:14:00-22:00
wechat
扫一扫二维码,添加客服微信

15639981097

上班时间:9:00-22:00
周六、周日:14:00-22:00

扫一扫二维码,添加客服微信