网站貌似被 XO，请教这种入侵方式是如何实现的

搜索引擎劫持 判断user agent

@virusdefender 谢谢，明天学习一下

从解析上找找原因。。。

@zhangjian 谢谢，你是张自然吧，以前在免费吧见过:)

@blijf 嗯。

以前处理过wordpress这样的，在全站都加载的某个文件里放一段加密js，判断是搜索引擎的跳转到某些网站……

@yylzcom +1 遇到过，这是原因

我也是这样，好几个月了那些数据才慢慢消除。

我是被人改了DNS解析（被恶意泛解析了），说的就是DNSPod，查日志是通过接口被改的。

Refer 来路判断

曾在某些政府网站看到过同样手法
某关键词用百度可以找出一堆政府博彩

虽然楼上已有正确回答、这里再补充一下、快速查找该恶意代码方法～查一下你的核心被包含文件…重点查看更改时间较新的文件、原理是通过判断head中user agent 、如果是搜索引擎爬虫 则会劫持页面更改页面内容、如果不是，则显示正常，所以你看到搜索引擎里结果 和你浏览器里的结果不一样.


写在后面、能劫持你收录页面了，说明你的站点已经被shell、建议先深度查杀遗留后门、补上漏洞、数据库若在同服则查看是否被开启远程连接、建议更改数据库密码、3389或ssh密码 更改web后台密码 更改web后台路径、上传目录禁止执行 其它目录禁止写 建议单独建一个小权限用户运行web应用 该用户对目录操作权限应设置最小化

这样基本不会有问题了、当然服务器没被运行远控类木马的话；-） 祝你好运

@virusdefender 又是你