這篇文章是主機(jī)吧在網(wǎng)上轉(zhuǎn)的，來源于一家Sine安全公司寫的，覺得對(duì)網(wǎng)站快照被劫持的站長非常有幫助，推薦大家閱讀。

最近很多公司的網(wǎng)站快照被劫持跳轉(zhuǎn)到了bo彩、cai票網(wǎng)站上去，客戶從百度點(diǎn)擊進(jìn)去會(huì)跳轉(zhuǎn)，直接輸入網(wǎng)站的域名不會(huì)跳轉(zhuǎn)，網(wǎng)站快照也被劫持成bo彩的內(nèi)容，site查看網(wǎng)站在百度的收錄也出現(xiàn)問題，收錄了很多cai票內(nèi)容，有些客戶的網(wǎng)站還被百度網(wǎng)址安全中心攔截，提示網(wǎng)站存在違法信息。

那么到底什么是網(wǎng)站被劫持？我給大家簡單的講解一下，攻擊者利用網(wǎng)站的漏洞或者暴力破解網(wǎng)站后臺(tái)進(jìn)行攻擊網(wǎng)站，拿到網(wǎng)站管理員權(quán)限后，進(jìn)而篡改網(wǎng)站的首頁文件，標(biāo)題以及描述被篡改成bo彩內(nèi)容，并吸引百度的蜘蛛進(jìn)行抓取收錄，當(dāng)百度快照更新后，bo彩的一些關(guān)鍵詞就會(huì)排名到百度首頁上去，攻擊者利用這個(gè)方法來獲取客戶源，以及流量。

那么如何處理解決網(wǎng)站被劫持的問題呢？

正好這幾天我們剛處理完一個(gè)客戶的網(wǎng)站劫持問題，這個(gè)客戶網(wǎng)站被黑了，通過朋友介紹找到我們SINE安全公司，他說網(wǎng)站快照被劫持了，從百度打開網(wǎng)站會(huì)直接跳轉(zhuǎn)到bo彩網(wǎng)站上去，直接輸入網(wǎng)址不會(huì)跳轉(zhuǎn)，還有就是在百度搜索網(wǎng)站域名，會(huì)出現(xiàn)百度網(wǎng)址安全中心提醒您：該頁面可能存在釣魚欺詐信息！的紅色百度攔截提示。如下圖：

客戶說這個(gè)網(wǎng)站被劫持問題發(fā)生1個(gè)多月了，一開始被劫持跳轉(zhuǎn)的時(shí)候沒當(dāng)回事，只是篡改了網(wǎng)站首頁，覆蓋還原回去就沒問題了，過不了幾天又被篡改了，反反復(fù)復(fù)的篡改導(dǎo)致目前百度開始攔截網(wǎng)站了，網(wǎng)站的關(guān)鍵詞排名都掉了。

上述特征都是網(wǎng)站被劫持的癥狀，我們首先跟客戶要了網(wǎng)站的相關(guān)信息，F(xiàn)TP賬號(hào)密碼，以及網(wǎng)站后臺(tái)的管理員賬號(hào)密碼，連接網(wǎng)站，對(duì)客戶網(wǎng)站代碼進(jìn)行下載，我們本地對(duì)網(wǎng)站的代碼進(jìn)行安全檢測(cè)，發(fā)現(xiàn)網(wǎng)站首頁被添加了一段Unicode編碼，都是數(shù)字字符，如下圖所示：

對(duì)Unicode編碼進(jìn)行解密發(fā)現(xiàn)內(nèi)容是一些cai票內(nèi)容等內(nèi)容。這一些都是攻擊者篡改的內(nèi)容，我們立即對(duì)其進(jìn)行強(qiáng)制刪除，網(wǎng)站首頁恢復(fù)正常，沒有再跳轉(zhuǎn)，我們仔細(xì)的檢查了網(wǎng)站是否存在木馬后門，發(fā)現(xiàn)在網(wǎng)站數(shù)據(jù)庫配置文件里添加了一句話的網(wǎng)站木馬代碼，攻擊者可以利用這個(gè)網(wǎng)站木馬文件直接篡改首頁，在根目錄下的head.php文件也被攻擊者篡改，寫入了webshell代碼，可以直接對(duì)網(wǎng)站進(jìn)行控制，上傳代碼，下載，修改等操作。我們SINE安全對(duì)以上發(fā)現(xiàn)的木馬后門進(jìn)行了刪除。

那么網(wǎng)站為何被篡改，并上傳了木馬webshell文件呢？最根本的原因是網(wǎng)站存在漏洞，需要對(duì)網(wǎng)站的漏洞進(jìn)行檢測(cè)與修復(fù)，我們對(duì)客戶的網(wǎng)站進(jìn)行漏洞檢測(cè)，發(fā)現(xiàn)網(wǎng)站存在sql注入漏洞，攻擊者可以通過惡意的sql語句對(duì)網(wǎng)站數(shù)據(jù)庫進(jìn)行查詢，更改，等管理員的操作，我們第一時(shí)間想到的就是網(wǎng)站的后臺(tái)被登陸了，我們查看網(wǎng)站日志，果然發(fā)現(xiàn)問題，立即對(duì)SQL注入漏洞進(jìn)行了修復(fù)，對(duì)有問題的代碼進(jìn)行了安全過濾，防止非法參數(shù)的寫入，對(duì)客戶網(wǎng)站的后臺(tái)進(jìn)行了二次密碼安全驗(yàn)證，修改了默認(rèn)后臺(tái)地址，網(wǎng)站被劫持的問題得以解決。

關(guān)于網(wǎng)站被劫持的處理建議：

1.對(duì)網(wǎng)站的首頁文件進(jìn)行安全檢測(cè)，看下標(biāo)題，描述是否被添加Unicode編碼的字符。

2、首先清理這些惡意代碼，如果是服務(wù)器，可以遠(yuǎn)程登錄桌面操作，如果是虛擬主機(jī)，可以通過FTP下載下來進(jìn)行刪除。

3、打開網(wǎng)站代碼，手工進(jìn)行清理，如果很多文件都有，可以通過批量替換方式來清理這些惡意代碼。

4、一般你網(wǎng)站上都會(huì)有網(wǎng)站木馬文件，找到這些木馬文件進(jìn)行刪除。

5、漏洞的修復(fù)，可以對(duì)比程序系統(tǒng)的版本進(jìn)行升級(jí)，也可以找程序員進(jìn)行修復(fù)，如果是你自己寫的網(wǎng)站熟悉還好，不是自己寫的，建議找專業(yè)的網(wǎng)站安全公司來處理解決網(wǎng)站被劫持的問題，像Sinesafe,綠盟那些專門做網(wǎng)站安全防護(hù)的安全服務(wù)商來幫忙。

以上就是關(guān)于網(wǎng)站被劫持問題的處理解決辦法，如果您一直被劫持的問題困擾可以根據(jù)我們處理的過程一步一步來操作，靜下心來肯定會(huì)找到跳轉(zhuǎn)的代碼，刪除代碼對(duì)其網(wǎng)站漏洞進(jìn)行修復(fù)就可以根治網(wǎng)站被劫持。