南京安卓安全加固

青岛四海通达电子科技有限公司

网站被劫持的主要有两个，个是网站通过百度搜索关键词点击链接会直接被跳转到其他网站上去，*二个是在百度收录的快照里存在大量的违规与本身网站不相关的快照标题，发现存在上述两个的话说明网站被劫持了，是因为网站存在漏洞导致被入侵并上传了木马后门篡改了页面所导致的，需要对网站代码进行安全审计和网站漏洞修复，清理木马后门，做好网站安全加固防止被入侵等措施，如果对代码实在不熟悉话可以向网站安全公司寻求技术支持。
还有一种情况是次打开你的网站会跳转非法网站，而*二次打开或者刷新后就会正常显示，一般用户很难发现他以为点错了，这种悄无声息的手段搞破坏，让你的网站不知不觉变成别人宣传的嫁衣。这是因为对cookies做了判断。

各位小伙伴们大家好。今天给大家分享一个事情，就是我客户的企业小站被挂马了，那现在是2022年的2月初假期期间平时也不怎么打开那个小站，好，在2月2号的时候闲来无事点开看一看，发现点开网页的时候，就在页的那里就卡顿了一下，因为网站用了CDN加速，按理说应该不会卡的，那我想到的就是情况不太妙，然后我就就这样右键查看了一些源代码，发现在在title标签这里多了一个不明的js链接，那我想到的就是黑链、或者是给其他的网站挂链接，增加它的网站权重，虽然说网站很小，但每天还有几百个IP，毕竟是通过优化排名做上去的。

Ok，多了一个双引号，左边看一下，你会发现原来在这里的代码，这个s等于它的一个来源地址，那么当这个来源地址里面存在搜索引擎蜘蛛的时候，它就会跳转到这么一个地址，复制地址打开后，其实就是这个违规内容网站的地址，所以说终的罪魁祸就是前端的问题。Ok那么当我们找到这个位置的话，那么我们就可以定位到这个文件把这些代码，那么这个的话你前端被黑被劫持的一个问题所在，那么我们只要找到这个脚本把它删掉就可以了。当然你会发现就是说这种情况下，你把这个域名复制过来，你直接请求打开他是不会跳转的，因为你那个来源地址是直接输入的，它就没有那个来源地址，它不是从其他搜索引擎过来的，所以说它就不会进行跳转，那么对于这种情况我们可以直接上去找到JS，在js里面这个PPT把这个脚本掉，那么这个问题就会处理掉，如果遇到网站被反复篡改跳转的话，就得对网站的源代码进行安全审计，木马后门清理，以及修复网站漏洞杜绝被再次篡改的风险，实在解决不掉的话可以向网站漏洞修复公司寻求技术支持。

先我们检测到的是帝国安装代码功能上存在可以插入恶意代码漏洞，在install安装目录下的index.php文件中，可以查到表的前缀，也就是获取前端提交过来的参数，然后继续往下看，data目录下的fun.php代码里的参数并没有做任何的安**验，导致可以直接插入恶意代码写入到配置文件config.php中去。漏洞详情如下图：
很明显的php大马后门，可以任意上传修改文件内容，一旦发现这种脚本文件，一定要检查下网站源代码有无被篡改或留下隐蔽小马后门，如果对程序代码不熟悉的话可以向网站漏洞修复公司寻求帮助。