PHP源码被篡改，快照劫持问题挥之不去！

都说常在河边走哪有不湿鞋，同行业时间待的越久，总会遇到一些稀奇古怪的事情。这次又双叒叕是快照劫持，这些菠菜黑帽的挂马简直可以说是无孔不入！且看被劫持的情况，早上还是好好的，下午就发现全站的快照都被劫持！

从搜索引擎进入的网址，直接会被跳转到下面的菠菜垃圾站：

在浏览器地址栏直接输入url，访问显示是正常的企业站点：

全站快照被劫持，请允许我做一个悲伤的表情：

问题摆在面前，悲伤和感叹的情绪我们可以等到解决问题之后再说，现在我们需要首先解决掉他！

有一点可以肯定，被黑的是公用文件！

罪魁祸首就是这个js，它直接让网站跳转到菠菜网站了，需要仔细检查原因，追根溯源，第一步我们看一下ftp根目录：

由于黑客修改文件后，文件的修改日期会异常，所以可以通过这个小窍门来检查被黑的是哪个问题，但这次是一个例外，所有文件的最后修改日期都正常，那么只能逐个检查了；所幸这个网站的根目录只有22个文件，一个一个的检查顶多需要十几分钟。

这期间还发生一个插曲，那就是ftp总是卡在列目录的步骤，无法进入，2秒钟的思考之后，笔者准备另写一篇文章：《连接ftp时无法列目录问题的解决方案！》

言归正传，网站管理系统后台经检查无异常，最终在这congif.php文件中找到了一段异常的php代码，这倒是比较少见的，一般的黑帽大多是通过JS，php的倒是很少遇到。

备份之后逐个检查，最后发现竟然在config.php里！直接删除不多做解释！

糟心的php代码黑帽快照劫持问题，到此就告一段落了。另外顺手查了一下这个网站的服务器，不出意外地话是某个不知名的虚拟主机，建议有条件的朋友尽量使用阿里云等服务器，即便用虚拟主机也千万不要贪便宜！记住一个原则，价格高的的不一定好，但便宜的一定不会太好！

D盾、百度云、阿里云、护卫神等等，当前市面上有很多的防攻击软件，可以降低网站绝大部分被入侵的风险。