php代码判断是否被劫持

可以使用 php 代码检测是否被劫持，主要的方法如下芦磨： （1）检查 HTTP 头部的 Referer 信息。在用户每一次访问网站时，通过检查 HTTP 头部的 Referer 信息，可以判断是从哪个页面跳转到该页面的。如果 Referer 信息不是网站本身，则可能发生了非法跳转攻击。（2）验证 HTTP 内容协议头部。HTTP 内容协议头部中关于编码和字符集的内容都是可以重新设置毕含的，通过检查内容协议头部，可以判断是否有恶意修改。（3）验证 Cookie 的安全性。Cookie 是存储在客户端的文本文件，黑客可以对其内容进行修改，从而可以实现冒充合法访问者的目的。网站的每次请求都会带上 Cookie 信息，因此网站手哗笑可以建立验证 Cookie 的机制，来判断用户是否被恶意劫持了。（4）使用 HTTPS 来保护数据传输的过程。HTTPS 是一种具有加密功能的协议，如果某个请求是使用 HTTPS 协议发送的，则可以保证数据传输的安全性，从而防止黑客劫持网站。

无论怎么混淆，它最终都是靠执行eval来运行其代码的。

所以我们只漏弊要在php中加载runkit扩展，启用runkit.internal_override选项，然后另写一个php文宽培件来rename掉eval，然后自己实现一个function eval($code) {echo $code}，然后include这返巧族个文件。接着只要访问一下那个文件，这个加密的文件就会自己输出自己解密后的代码了。

http://php.net/manual/zh/function.runkit-function-rename.php

这种解密的思路称为“通过劫持eval破解程序加密”。

最近9月份出来的ecshop漏洞,对于2.72 .2.73 3.0 3.6 4.0版本的sql执行getshell漏洞导致的用ecshop程序的网站被入侵 user.php被删除 而且网站首页总是被篡改经常是标题和描述被修改从百度搜索打开网站跳转到一些博cai网站,应该对转义函数进行过滤防止post提交生成php脚本木马文件，而且这个被篡改的问题是反复性质的，清理删除代码后没过多久就又被篡改了。必须要对程序漏洞的返尘根源问题进行修复网站漏洞,清理已经被上传的隐蔽性的木马后门。

如果对程序代码不熟悉的话建议找专业做网站安全公司来处理此问题,国内推荐Sinesafe,绿盟,启镇凳蒙星辰御世旅等等。

---