网站在被黑的情况下,如果源代码内找不到,可能是黑客利用了ua或refer作弊的方式进行挂马,以下提供相关的技术点供站长进行排查:
1、针对ua作弊:
判断方法:
需要修改自己的浏览器设置,以搜索引擎爬虫的方式来浏览网页,打开火狐,Ctrl+T新建一个浏览标签,输入:about:config,打开配置页面,右键点击页面选择“新建→字符串”,在弹出的窗口中 输入:general.useragent.override,确定之后,输入:Googlebot/2.1,继续确定,关闭窗口。
用百度蜘蛛爬这些网页,就是坏网页。浏览器直接访问,就是好网页。
如站点:http://www。guan****。gov。cn/
使用浏览器访问,这是个正常的政府网站,的确代码页不存在问题,如图
那为什么又被百度和scanv会报挂马拦截了呢?难道是被误报了?
我想如果站长不明事理,估计也该骂百度和安全联盟了,这不是误报,现在我们给你证明!
我们按照1的判断 方法试试把 用火狐浏览器修改配置
现在呢?是不是发现网页变了?没错这就是Cloaking!没有在源代码内展现,而是用了这种方式欺骗。
我们先看看它的实现方法,看看百科怎么说
Cloaking实现方法:
使用iis rewrite服务器伪静态工具,可以实现根据用户浏览器类别进行跳转 ,也就是当访问此页面的类型是Googlebot/2.1或Baiduspider那么执行命令跳转相应黑页:
- <strong>RewriteCond %{HTTP_USER_AGENT}</strong><strong>Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1) </strong><strong>RewriteRule ^/(.*)1 [F]</strong>
复制代码 那么要解决也就很简单,找到对应的项,去掉对应的rewrite,去掉对应的页面就OK了
2、针对refer作弊:
作弊者通过判断流量refer,区分来自搜索引擎的流量还是其它流量。一般作弊者的目标流量都是搜索引擎流量,所以需要通过refer来判断流量是否有价值。
判断方法:
通过百度搜url,并加上关键词,用户通过百度访问这些url就能跳转到坏网站,直接通过浏览器访问就不能复现跳转。
这个的问题也是出在代码,一般js/header等,找到首页或者其他通用模块的代码中的这个代码去除掉就能解决
直接访问:http://www.yyrb.cn/xwzx/news/6218.html
可以看到是个新闻网,通过百度搜索这个网址,只有一个结果:
点击访问进入后,网址竟然直接跳转到
这个的问题也是出在代码,一般情况可能是在js或者header等文件,找到首页或者其他通用模块的代码中的这个代码去除掉就能解决。
如果安全联盟公共报表内不包含其它问题,你就可以去提交申诉了。
申诉地址:http://www.anquan.org/seccenter/appeal_verify/
来源:安全联盟官方论坛
http://bbs.anquan.org/forum.php?mod=viewthread&tid=18637 |
当前位置--经验分享
网友评论:(评论内容只代表网友观点,与本站立场无关!)