网站被入侵新增违法快照的解决案例

2022年6月10号距离世界杯的开幕还差5个多月，许多网站以及IIS被劫持收录大量TFWC 2022年卡塔尔世界杯、体育等菠菜违规内容快照，大家也可以自行检查下自己的网站在百度权重，是否上升的很快，再一个查看关键词排名情况，如果发现都是一些体育，菠菜，QP等等的长尾关键词，那基本上就是网站被黑客入侵并篡改了代码，我们SINE安全公司近期处理了许多中小企业网站的客户，他们也都是收录的世界杯菠菜相关内容的百度快照，网站很多页面的标题、描述都被篡改，访问网站正常也察觉不出网站被攻击或者被劫持，像快照被劫持这种比较隐蔽的攻击，许多站长不容易发现，得需要专业的安全技术才能检查的出来。

那如何确定网站是否被快照劫持？SINE安全老于给大家详细的介绍一下，首先可以打开百度站长工具，看下近期的收录是否异常，像收录突然猛增，百度的蜘蛛抓取次数是否多了很多，再一个看下site:www.***.com自己的网站，看最近一个月的收录，是否收录大量的世界杯体育，菠菜、QP等恶意内容的百度快照。再一个快照劫持的特征是，直接访问网站是不会出现跳转，从百度点击进入网站，会直接跳转到违规网站上去。我们sinesafe以实际的客户案例给大家看下，像下面这种收录内容，基本上就是网站快照被劫持了，也可以说是网站被黑客攻击了。

快照劫持简单来讲，便是黑客利用网站存在的代码漏洞，去入侵网站，并上传webshell木马文件，通过脚本木马，去篡改IIS，以及数据库配置文件，植入劫持快照的恶意代码，这个恶意代码会根据访问用户的特征进行判断，当百度蜘蛛来访问网站的时候，就会将世界杯、菠菜、QP等违法不良内容展现给百度蜘蛛看，让蜘蛛去抓取这些内容，并收录到百度中，有些用户访问的时候，就会跳转到黑客推广的世界杯页面。

网站快照被劫持该怎么办？

要彻底的解决网站快照被劫持的问题，要从网站源代码入手，去检查代码是否存在漏洞，对漏洞进行修复，以及网站木马后门的检测与清除，包括网站安全一系列的安全加固。针对这种劫持问题，我们SINE安全以现实客户为解决案例，进行解说。客户网站使用的是Windows服务器，系统是2012系统，中间件是IIS 10.0版本，网站代码是aspx架构，自己单独开发的，数据库架构是sql，因为客户网站在百度权重是5，收录基本都是秒收，关键词排名也都很靠前，在被黑客篡改代码，劫持快照收录大量违规内容的当天，就找到我们SINESAFE，我们立即进行了安全应急响应，客户提供了服务器以及网站的相关信息，我们对网站的所有代码进行了人工安全审计，检查漏洞，以及存在的木马后门，对网站日志进行了详细分析，包括服务器日志，也都进行了检查，通过客户提供的攻击时间，我们溯源了整个黑客攻击路径。

首先我们人工对代码进行检查，发现了木马文件，也叫webshell后门，也可以理解为aspx脚本大马，该木马可以对网站的源代码进行修改，删除，上传等的一些操作，通过该文件的创建日期，我们查了相关的网站访问日志，发现黑客是通过上传文件代码这里，直接POST上传了后门文件，我们SINE安全对上传代码进行了人工安全审计，发现该代码存在文件上传漏洞，黑客可构造恶意参数直接绕过文件格式限制，上传了.aspx的文件。我们立即对该代码漏洞进行了修复，并对检查出来的木马后门进行了删除。又检查了其他代码，黑客留了不少后门在网站目录下，在附件目录以及CSS目录，后台目录都有发现，都一一记录下来，并强制删除。木马和漏洞都已修复，可以我们发现客户的网站快照还在继续被劫持，点击进去还是跳转到恶意网站上，我们又对服务器进行了检查，发现IIS被劫持了，我们SINE安全技术又对服务器系统进行了安全检测，发现，服务器被黑客提权增加了管理员账户，也就是说服务器也被黑客入侵了，这里简单解释一下，由于aspx权限较大，可以直接添加管理员到服务器中，黑客可以执行系统命令，正常来说，服务器的维护人员应该对aspx的权限进行限制，至给普通用户的权限去运行即可，由于安全意识薄弱导致服务器被入侵。由于黑客篡改了IIS，导致快照还在继续收录，包括跳转也还在，我们对IIS进行了检测，发现植入了恶意代码，导致整个IIS里的网站都被快照劫持，收录大量违法内容。人工对其恶意的IIS代码进行了删除，问题得以彻底的解决。随后我们对服务器进行了人工安全加固，端口安全部署，以及文件权限部署，数据库安全加固等等一系列的操作，防止黑客再次的攻击。

懂点技术的，也可以按照下面方法进行处理快照劫持的问题。

1.分析服务器日志，网站日志，以及网站收录情况是否存在异常，看下网站访问日志是否有大量百度蜘蛛爬取某些不存在的页面。

2.检查网站源代码是否被植入木马后门，可以对比之前的文件进行一一查看，尤其是检查网站的首页代码和数据库配置代码，还有JS，css代码里是否存在劫持的恶意代码。

3.通过百度站长工具，进行模拟百度蜘蛛抓取，看下网站是否抓取的内容，跟你正常浏览的内容不一样，来判断网站被劫持。

4.删除恶意的劫持蜘蛛代码，然后对网站代码漏洞进行修复以及修补，如果不懂如何修复也可以找专业的网站安全公司，也可以找我们SINE安全来进行修复和网站安全加固，彻底的解决快照被劫持的问题。

5.对服务器进行安全加固，可以看一下进程以及端口PID是否异常，检查一下对外的连接是否存在一些除了80，443等端口的IP，检查服务器的登录日志，看下是否有异常登录的IP。

6.利用站长工具，搜集一些收录菠菜内容的快照地址，并设置为404状态，提交给百度进行处理，当百度蜘蛛再次爬取的时候，就会删除这些违规内容的快照。也可以到百度站长中心反馈，或者是到百度快照更新哪里提交一下。