加载中…
正文 字体大小:

关于网站通过搜索引擎点开是非法网站,通过域名打开则正常的故障解决方案

(2018-07-19 15:31:45)
首先我先罗列一些标题,以便您能对症下药的看到本篇博文是否治您的病——

1、通过搜索引擎打开网站,跳入非法网站;通过输入域名打开网站则正常
2、通过手机打开网站,跳入非法网站;通过电脑打开则正常
3、白天打开网站正常,到了晚上则跳入非法网站

诸如此类的,多种情况

最近这几天机房陆续接到用户反映,自己的网站打不开;机房检测一看OK 没问题啊;
这种事情持续了个把月,反映的用户也越来越多,后来终于开始重视这个问题,我远程上服务器一看没问题呀,各个网站文件夹干干净净。

但是按照用户的方法,通过搜索引擎搜索这个网站,然后点进去,我擦~~~;面目全非,外加360跳警告

我心里一紧,这可不就是中招了嘛,通过这个病毒的触发机制,明显感觉这就是高手所为;

于是开始抽丝剥茧——


我在IIS中把这个网站停止,然后通过百度搜索点入;网站居然还能打开,直接跳转到非法网站,和之前状态一样;

我直接把IIS的全局站点关闭,这下安静了,从百度点入以后显示该页无法打开。

OK现在病是找到了,开始治疗吧

这个病是典型的301重定向劫持,最简单的办法,通过添加删除程序,卸载掉iis中的重定向服务,反正这个一般也没人用,你把这个服务卸载了,病毒也就无法利用了。

还有一种是通过isapi接口实现的重定向,说简单点原理就好像是伪静态原理一样;

这时候你要检查一下你的iis中有没有被人偷偷安装了不明api组件,在isapi筛选器中即可看到,一般默认就有.net或php插件;其他的就要注意了;

这个原理和伪静态道理一样:如果用户访问一个不存在的url地址后,则会弹出404错误页,而这个组件则进行url重写,将访问请求定义到另外一个url上;

黑客会写一个简单的判断程序,可以判断来路(来自百度、360等)进行跳转;也可以通过判断上网设备进行跳转;具体怎么跳就看黑客的心情和艺术了;

我们需要做的就是以下几点:

1、删除iis中不明的api引用
2、找到这个api安装目录,彻底卸载掉
3、检查301重定向是否被改,如果没用建议直接卸载
4、检查asp.net网站目录下的web.config文件是否被写入重定向代码,有则删除不明代码


基本上就没事儿了,不过有些黑客很鸡贼,给你服务器上安装一种文件保护器,隐藏了他修改过的文件,让你很难找到他;这种文件保护器隐藏的文件,可不是你通过资源管理器查看修改系统属性能搞定的,比较麻烦;

例如:
easy file locker 是一款专业文件保护程序,被很多黑客利用,黑客下的蛆很多都通过这个软件隐藏起来了;

而通过这个软件隐藏修改过的文件,你一般很难发现,但是万事无绝对,这个软件有一个配置文件中罗列出他动过的文件——

c:\WINDOWS\xlkfs.ini

通过记事本打开这个文件,你就能发现你本地多少文件被他隐藏或修改过。

easy file locker 软件删除需要密码,如果没有密码则无法卸载,网上有很多大神通过很多办法也能卸载,但是有一个非常简单的,导致各位大神都不屑考虑的方法却很有效果——360安全卫士中的软件管家里有一个卸载服务;可以一键轻松的把这个easy file locker 给清理掉。


我们是西安飞驰网络通信有限公司,您身边的信息化服务专家。


0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4006900000 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有