通过百度APP访问网站发现网页被窜改是什么原因？

最近有客户的网站遇到了这么一个情况，通过pc端和手机端浏览器可以正常访问网站，而且在pc端浏览器右键查看网页源代码，网站代码没有被窜改。

但是通过百度app访问网站时却发现，网页头部被加上了乱七八糟的内容，等于在网站头部嵌入了一个黑客恶意推广的网站。再加上，百度app是手机浏览器，无法直接查看网站源代码，所以客户也不知道网页源代码都被加了什么东西。

首先，已知客户的网站是某款知名的php建站系统搭建的，而这款php建站系统的安全性能口碑是很高的，极少出现用户网站被黑的情况，当然不会被黑的前提是用户的服务器足够安全。

因此，我首先怀疑到是用户服务器的安全漏洞导致了网站被黑。

一般处理网站被黑的当务之急是先恢复网站的正常访问，再去找到网站被黑的原因。

由于网页被窜改的情况只出现在百度app上，因此我们需要在pc端浏览器模拟百度app的UA来访问客户网站，由此查看网页源代码，看到被窜改后的代码内容。

我们发现黑客是很狡猾的，他基于浏览器UA信息做了设备判断（如下图所示），通过百度搜索、神马搜索、搜狗浏览器，360搜索，360好搜，搜搜等搜索网站或搜索软件访问网站时，就会看到被篡改后的网页。

而我们查看被窜改的网页源代码，就可以通过模拟这些搜索网站或搜索软件的UA信息访问网站来实现。

被篡改的网页源代码如下图所示：

简言之，是在原网页的body标签上面又加入了一个网页。

由于客户的网站使用的是伪静态，并非纯静态，而且检查网站模板也没有被窜改，因此可以黑客是通过篡改用户网站程序的核心配置文件来实现在PHP层面上篡改网页内容的。

好在，客户使用的网站程序支持在网站后台一键“校验当前版本的系统核心文件”，因此通过该功能，我们很快找到网站程序被窜改的文件，那么，我们用网站程序的原始文件，替换被窜改的文件，网站就恢复正常了。

在被窜改的系统核心文件中，我们看到如下代码：

截图中的ip地址，就是黑客给客户网站分配垃圾网页信息的。

通过这个ip，我们甚至可以找到黑客网站和黑客本人。当然，是不是他本人也说不定，也有可能是他买的别人的技术。

下面，我们假设使用这个ip的主人就是黑客本人。

为了避免被黑客报复，因为这个黑客居然也是买过我网站模板的一个客户，由于敌人在暗，我在明，我就不公开ip了。

怎么才能有效地举报这样的黑客，有大佬能不能给我提提意见？

继续说，黑客是怎么黑入我上面这位客户的网站呢？

遗憾的是，该客户使用的是虚拟主机，能调取的只有网站日志，而没有服务器日志（应该有，但是该客户反应，他使用的虚拟主机空间商网站客服都是外国人，且只能通过邮件沟通，特别难打交道）。

另外，黑客窜改系统核心文件以后，系统核心文件的修改时间居然也没有变。

咨询过大佬后得知，是可以通过某些工具强行修改文件的修改时间的。而黑客就是利用了这样的工具，修改系统核心文件以后，文件的最后修改时间却没有变。

这样一来，一旦无法查看服务器的运行日志，我也就没有办法找到黑客入侵网站的方法了。

当然，还有一个方法，我有这个黑客的qq，可以直接问他，但是他肯定不会承认的吧！问他会被他当成傻子吧！

当然，客户网站被黑的最大可能性是服务器漏洞，即该客户使用的虚拟主机所在的服务器有漏洞，被人提前种下了木马程序，通过木马程序窜改了他网站的系统核心文件。

另外，这个客户使用的是国外某品牌的虚拟主机，发现网站被黑的时间刚好是网站从阿里云搬家到国外虚拟主机之后。

那么，恰恰可以说明，国外该品牌的服务器存在安全漏洞（一台服务器上很多虚拟主机），受限于虚拟主机无法自主安装安全软件，最终我给该客户的建议是，更换其他品牌的虚拟主机。

本文链接：https://h.finchui.com/wangzhan/4732.html 转载需授权！