新站百度site 怎么出现恶意网址

武玥

新站刚建没多久，就出现恶意二级域名。这是怎么回事呢？

都是一些违规的想问下大佬们这个怎么解决呢？（如图）

急呀！！！

来自安卓APP客户端

panwf

百度快照劫持了

武玥

panwf 发表于 2021-04-05 15:48
百度快照劫持了

那这个怎么解决呢？

来自安卓APP客户端

初锦

如果你的网站代码一切正常，文件未被篡改，重新恢复以往站点备份数据也没什么用，那这是百度快照劫持，确实难办。如果ftp存在不明文件，那就是被黑了。
可以参考以下方法：
1、全站https
2、修改robots文件内的内容，不要使用discuz默认的
3、关闭不必要的端口和上传功能
以上方法对以后的快照劫持有很大的预防作用。
如果你耿耿于怀，那么可以从这几个方面入手，看看是谁作乱：
1、网站访问日志，尤其是针对非网站首页的访问
2、首页引用的第三方文件图片，js等
如果你对discuz和代码比较了解，可以重点关注以下几个文件：（重点！）
1、function_core.php、discuz_application.php、class_core.php、config_global.php+这几个文件最容易被篡改加劫持代码
2、论坛后台网站配置或者广告里加入js跳转代码
3、php.ini文件插入自动运行代码
总之，快照劫持有着完整的产业链，想要对抗那些鬼迷心窍的黑帽子，你最好做最坏的打算。

伍林堂工作室

是不是使用外部插件了？

allthebest

若存在，处理前，先卸载所有盗版插件与模版。

进discuz后台找到工具-文件校验，看下最近有哪些php文件被修改了。

1、排查网站源文件的php 文件，查看是否有出现IP地址、或者异常网站（上面跳转的网站），如果有删除就可以了。

2、排查网站源文件的php 文件，查看是否有如下代码：@include($_SERVER['DOCUMENT_ROOT']

（排查一般用WEBshell后门扫描软件扫描核查！）

如果有就删除此段代码。并把该段代码进行解密。

举例：@include($_SERVER['DOCUMENT_ROOT'].PACK('H*','2F646174612F6176617461722F30'));

需要解密的代码为：2F646174612F6176617461722F30

解密后为：/data/avatar/0

代码解密地址：http://www.bejson.com/convert/ox2str/


意思就是在上述路径下存在被非法上传的文件，用于做快照劫持。

解决办法：删除上面的代码和文件即可。

挂马问题解决了后，记得更改服务器相关的各种密码，尽量设置的复杂一点。

allthebest

https://www.dismall.com/forum.php?mod=viewthread&tid=8532&page=1#pid36445

看看我的沙发帖子

鸿茂传媒

网站已经被入侵，快照劫持了。