网站被黑被劫持跳转的症状与木马代码清除
网站被黑症状的一种形式,也就是web前端被黑了,我来说说网站页面被劫持的一个症状和处理方法。首先我们先来看一下这个症状是什么样的,这里我找到了一个客户网站的案例,那么当我在通过百度搜索某些关键词的时候,当我点击这个链接的时候,它会给你跳到这种菠菜的页面,那么怎么样判断它是前端还是后端PHP进行了一个劫持,那么我们就把这个链接复制过来,复制好了后,我打开这个调试面板,然后在这里有一个 settings的这个一个设置按钮,把这个disable javascript这个脚本把它禁用,那么禁用之后把刚才这复制过来的这个快照链接把它复制过来,然后敲一下回车,就会发现发现它是不会跳转的,所以对于这一种请求跳转,我们把它称之为叫做前端拦截。要是前一两年这种形式还是比较少的,但是今年发现的就越来越多,原因是什么,原因是PHP脚本里包含跳转代码的话会被杀毒软件直接查杀出来。
所以可能以前的那种形式,对于他们这些做黑产的这些人来讲,以前的形式可能不是那么好用了,所以说他们现在就开始琢磨着前端这一块,所以这一种是前端的拦截,那么这种问题该怎么处理,那这种问题的话我们我来讲一下这个处理方法,首先把这个禁用把它关闭掉,让它恢复原状,那恢复原状之后,我们在这个控制面板里面打开这个网络请求这个日志这里把这个持续日志开起来,然后把这个缓存关掉,然后清出这个日志,然后再一次把这个链接把再请求一遍,那请求一遍之后,当然我这个浏览器默认这里我我是做了一定的调整的,当然他现在还没有这样,在这里我们需要鼠标点一下右键,把这个what For what for其实就是对你的what for,那其实就是一个一个响应的一个先后顺序关系。
你看他在这里默认的情况下,他是从百度过来之后,他访问首页之后,他就加载JS代码之后他就开始跳转了,导致跳转之后这些请求他还没加载完,但是他已经跳转了,那这些日志的话,它就不会再继续请求了,这样的话它会一直是一个完成状态,它这个圈圈也是没有再转了的,所以说它其实是一个已经加载完的一个状态,这些的话是已经不会在加载了,所以对于要追踪这个前端js哪里出了问题,我们需要把这个日志排一下序,按什么排序,按照what for下面的这个 response time也就是这个响应的时间,而这些等待状态的我肯定是因为它没有加载完,所以说它肯定不是问题的一些脚本所在,这些就可以排除掉,那么我们只要按照看哪些已经加载的那个文件出了问题,只要找对应的那些问题就可以了,我们按这个 response time进行排一下序,那么前面的404错误的,或者说他没有去请教的这些fired我们都可以忽略掉,有点的也可以忽略掉,它是已经响应已经完成了,就是说已经加载的一些这些文件,你看他是从百度过来,然后访问了首页,然后加上了css然后在这些,按照这么一个顺序来的。
那么当我们看看的时候,你会发现这里有一个这样的域名,那恳请这个域名的按CS的话,我们都大家都认识,那肯定一般性的也不会出太大的问题,尽管说cncc有可能官方有推广广告,但是这一次的话是可以排除的,它不是属于这一个站点的,原来这个站点的一个个链接,所以我们就要追踪一下这个脚本是怎么来的,那怎么样追踪。那么我们就需要记住这三个键,记住,那么记住什么键,那么记住的是这里CTRL加shift加out这三个键,就是说你要按住这三个键control out shift的,然后你在这个日志上面滑动,然后你滑动到它的上面,你会看到上面有三个绿的,而最下面那一个绿的就是 PPT books也就是这个,这个它会显示成绿色,那么当我放在这个上面的时候,最后一个这个绿色的是是这个PPT books,这个脚本它是由PPT books发出来的,所以当我追踪的时候,我按照control out shift的这三个键的时候,你就可以追踪到这个脚本是怎么来的,它是在页面的第十六行的这一个脚本里面出来的,那我们可以实现为了验证一下,我们可以把这个脚本点开,然后查看一下这里面的代码,当然这个只要你稍微有一点脚本的知识,没有大问题,你只要往下面翻,翻到最后面你会发现你看一下这里有三个JS,那这个脚本的话就是从这里发出来的,那发出来之后它发出来是个什么鬼,我们点进去再转到看一下。
Ok,多了一个双引号,左边看一下,你会发现原来在这里的代码,这个s等于它的一个来源地址,那么当这个来源地址里面存在有百度、搜狗、搜搜这些搜索引擎的时候,它就会跳转到这么一个地址,复制地址打开后,其实就是这个菠菜网的地址,所以说最终的罪魁祸首就是前端的问题。Ok那么当我们找到这个位置的话,那么我们就可以定位到这个文件把这些代码删除,那么这个的话你前端被黑被劫持的一个问题所在,那么我们只要找到这个脚本把它删掉就可以了。当然你会发现就是说这种情况下,你把这个域名复制过来,你直接请求打开他是不会跳转的,因为你那个来源地址是直接输入的,它就没有那个来源地址,它不是从百度也不是从其他搜索引擎过来的,所以说它就不会进行跳转,那么对于这种情况我们可以直接上去,js里面这个PPT把这个脚本删除掉,那么这个问题就会处理掉,如果遇到网站被反复篡改跳转的话,就得对网站的源代码进行安全审计,木马后门清理,以及修复网站漏洞杜绝被再次篡改的风险,实在解决不掉的话可以向网站漏洞修复公司寻求技术支持。