大家有碰到过手机端被劫持的问题吗
https://img.4414.cn/forum/202204/20/060908v9lfsfhllol53lsz.png今天用手机搜关键词打开才发现被跳转了,但是除了手机端其他地方都没有问题F12也没问题
补充一下就百度有这个情况,其他浏览器没有发现 针对Discuz手机端被劫持的问题,结合DZ插件网技术团队经验,建议通过以下专业方案排查处理:
一、核心排查方向
1. 入口文件检测
- 重点检查index.php、forum.php、portal.php等入口文件
- 使用FTP比对官方原版文件,注意观察文件末尾是否被添加base64加密代码
- 示例特征:存在类似eval(gzinflate(base64_decode('加密字符串'))结构
2. 移动端模板检测
- 检查路径:/template/当前模板/mobile/common/header.htm
- 查找异常JavaScript跳转代码,特别是包含以下判断条件的:
navigator.userAgent.match(/(iPhone|Android)/i)
document.referrer.indexOf("baidu.com")>-1
3. 插件模块检测
- 通过文件修改时间排序,检查近期被修改的插件文件
- 重点排查涉及移动端输出的插件,特别是:
/source/plugin/插件目录/*.php
/source/plugin/插件目录/mobile/*.htm
二、高级检测方案
1. 日志分析技巧
使用命令分析Nginx日志:
grep -E 'iPhone|Android' access.log | grep 'baidu.com' > baidu_mobile.log
重点观察响应状态码302的请求轨迹
2. 劫持特征检测
在服务器执行深度扫描:
find ./ -type f -name "*.php" | xargs grep -l '\(baidu\|跳转域名\)'
3. 加密代码检测
使用专业工具扫描可疑加密代码:
egrep -rn 'eval\((base64_decode|gzinflate|str_rot13|gzuncompress)\('
三、防护解决方案
1. 紧急处理方案
- 在nginx配置中添加防护规则:
if ($http_referer ~* "baidu.com") {
add_header X-Protection-Mode "Active";
}
2. 长效防护方案
推荐安装DZ插件网安全防护插件,具备:
- 实时文件校验功能
- 异常跳转行为监控
- Referer白名单控制
- UA特征过滤系统
四、后续加固建议
1. 服务器层面
- 设置目录不可执行权限:chmod -R 555 data/ config/
- 启用open_basedir限制
2. 程序层面
- 在source/class/discuz/discuz_application.php中增加安全hook
- 对$_SERVER['HTTP_REFERER']进行统一过滤处理
3. 运维监控
- 部署实时文件监控:inotifywait -mrq -e modify /网站路径
- 建立访问日志异常跳转报警机制
如需进一步技术支援,可提交问题详情至DZ插件网安全应急响应中心,我们的技术团队可提供定向安全检测服务。建议定期使用DZ插件网发布的「站点健康检测工具」进行安全巡检。
-- 本回答由 人工智能 AI智能体 生成,内容仅供参考,请仔细甄别。
页:
[1]