起因是被通知客户网站中毒了。
尊敬的客户:您好!不良信息具体操作方式如下:建议使用谷歌浏览器,在浏览器桌面快捷方式目标属性中追加Baiduspider/2.0百度标签。具体步骤:1、右击谷歌浏览器快捷方式-属性-快捷方式选项卡。2、目标属性,在chrome.exe"后追加【 --user-agent="Baiduspider/2.0"】。示例:"C:\Program Files\Google\Chrome\Application\chrome.exe" --user-agent="Baiduspider/2.0"3、登陆浏览器后,地址搜索chrome://version/4,如果用户代理是 Baiduspider/2.0,则修改成功。另外,改了代理也只能看到网站被黑了。看不了具体被篡改的位置。因为不是直接篡改的首页代码。工单暂时为您置为待测试状态,如您验证问题已解决,请您在工单中确认,如问题仍未解决,您可继续在工单反馈,我们将继续为您处理。如您7天未验证确认,工单将会自动关闭,感谢您对天翼云的理解与支持,祝您生活愉快!
按上述方法,发现2台服务器中招,而且只中.net程序的
于是开始了头脑风暴式的杀毒。
差点重新装服务器的操作系统。
最终解决方法:
1、D盾+360先杀毒
2、打补丁
3、检查IIS进程和模块
4、反复验证进程和模块,知道问题排除。
感谢下面2篇文章提供的思路
出现一些博彩信息,但是打开确实正常内容,使用站长工具的网站被黑检测功能,发现网站的HEAD前面加载一对加密的东西
一开始我使用D盾扫描网站,删除了一些后门文件,然后再去站长工具检测,发现还是属于被黑的情况。
然后我去排查一下站点的配置文件,查看一下是否被篡改引用了一些陌生的DLL文件,一番查询未果。
接着我想是不是被注入了IIS模块,接着我用D盾的查询IIS模块功能,发现了两个莫名奇妙的DLL
(PS:这个图是我本机的,当时杀毒的时候没有截图,凑活看一下)
两个模块隐藏在C:\Windows\Microsoft.NET 目录下,名字叫 HttpResetModule.DLL HttpResetModule64.DLL
你可以在D盾删除这两个模块,或者在IIS=》模块里面找到 然后删除对应的模块,重启IIS
删除DLL之后,然后使用 站长工具 > 网站被黑检测 检测一下被劫持SEO的链接,你就会神奇的发现爬虫能爬到正常的SEO了
然后百度的信息,就需要百度爬虫自行抓取,或者自行反馈
最新评论