一次隐蔽到极致的WordPress/CloudPanel SEO劫持排雷记录
背景 某天在 Google Search Console 中收到提示:Alternative page with proper canonical tag 在GSC点开链接后发现一个异常现象: 关键特征 感谢有GPT帮助理清思路,我做了如下测试 这已经明确指向:服务器级 cloaking(搜索引擎定向劫持) 排雷顺序 Step 1:用curl直接验证是否是服务器级跳转 此处看到的并不是我自己网站的内容,而是陌生网站。至此说明是服务器层面的跳转! Step 2:立刻检查 PHP 全局auto_prepend_file(此处并没有发现问题) 如果输出不是 no value,而是类似: 说明是PHP层面的文件注入。这个场景的GPT推荐的,但是我这里并不是PHP层面注入,因此走向下一步。 Step 3:确认注入位置(CloudPanel 场景) 根据GPT建议我继续筛查php fpm的注入 此时看到这样的内容: 然后我把base64进行解密,看到: 这是典型的注入 Step 4:清除注入并重启PHP-FPM Step 5:立即复测 此时已经返回正常内容。 为什么这个问题如此隐蔽? 因为它满足了所有“最难发现”的条件: 当然为了发现这个问题,gpt也引导我走了一些弯路: 结语 这是一次典型的 SEO Cloaking / PHP全局注入 案例。真正的教训不是“漏洞多高级”,而是思路能否正确,并推动排查往前走。希望这篇记录能帮你少走弯路。