打开网站被挂马跳转到博彩页面 解决办法

最近有客户问到小蚁君从百度这里点击进去，我的网站会直接跳转到赌博网站上去，我一开始以为

是百度有问题了，我再从其他搜索引擎试了一下，360搜索，搜狗搜索点击进去，

都会自动跳转到赌博网站上去，难不成是我网站出问题了？ 

我自己做的网站都有三四年的时间了，用的开源phpcms开发的程序，自己二次开发

过，但一直都用得好好的就是最近网站被客户投诉说是跳转到博彩网站上去，我才

开始注意这个问题了，先检查下自己网站在搜索引擎的收录情况吧：

如何查看我的网站在百度里的收录情况？

打开百度输入以下内容：

:www.我的网站地址.com

 如下图所示：

搜索引擎快照是我网站的内容，往下翻个几页竟然出现一些博彩的内容了，什么澳

门新葡京，赌博游戏，开奖结果等的内容,但是点开过后会跳转到赌博网站上面去

，并会被360安全拦截提示，未经证实的博彩赌博网站。您访问的网站含有未经证

实的境外博彩或非法赌博的相关内容，可能给您造成财产损失，请您谨慎访问。

如何解决打开网站跳到别的网站？下面开始我的解决之路了。

先连接我的FTP，进去看下我的程序代码有没有可疑的问题，像网站的根目录里无

缘无故出现了一些陌生的文件名什么的，检查JS文件有无被篡改，于是静下心来对

每个程序代码，都详细的看了一遍，在JS目录下的jquery.min.js文件发现一段混

迹加密的代码，按理说都应该是不加密的，为何这段给加密了呀。 

既然是混迹加密的代码，那就给他解密看下到底是什么代码，解密后如下：

直接在Chrome浏览器里运行一下，为了让大家更清楚的看到问题的本质，理顺下这

个代码的作用以及思路：第一步，快照内容的关键词替换；第二步，构造语句函数

，第三步，采集内容提供给蜘蛛看，第四步，需要跳转到的网址。

这个代码支持从百度搜索引擎、360so、sogou、搜狗搜索、等等的网站。大家可以

试试这些站点之外的其他搜索引擎或站点，如BING，就不会进行跳转。是有跳转条

件判断的，如果是以上的网站来的点击，就会自动跳转到博彩，赌博，时时彩网站

上去。

小蚁解决打开网站跳到别的网站方案：

1.   删除JS里的混迹加密代码，并做下JS目录的权限为只读权限。

      为何网站JS内容被篡改，应该是网站存在漏洞。

2、 网站代码漏洞，这需要有安全意识的程序员才能修复得了，通常是在出现被挂  马以后才知道要针对哪方面入手修复；

3、也可以通过网站安全公司来解决。

4、服务器目录权限的“读”、“写”、“执行”，“是否允许脚本”，等等，使用经营已久的虚拟空间提供商的空间，可以有效降低被挂马的几率

应急响应措施

断网，尽可能的保护服务器现有证据，做服务器硬盘镜像备份，磁盘镜像，然后搭建镜像虚拟机，通过在镜像虚拟机做一些操作去溯源。

在服务器镜像中还原出已被删除的文件,关联分析确认可疑文件，证据链深度挖掘，还原攻击路径和攻击来源。

编辑搜图

请点击输入图片描述（最多18字）

​网站源码：

webshell查杀，发现可疑木马，木马分析

寻找可能存在的web安全漏洞，比如网站使用的框架、CMS漏洞等

日志分析：

网站访问日志：

系统安全日志：

网站备份保存数据

建议数据库每天备份一次，文件每周备份一次，可以尝试网站自动备份工具。

处理措施：

删除脚本木马

日志和完整性校验，十分重要，如果上传多个木马隐藏，若没有完整性校验就很难找出来所有的后门。

另外备份也很重要，可疑还原代码。

部署网页防篡改

为了避免由于网页被篡改而带来严重的危害，应该优先考虑做好技术防范工作，阻止网页被篡改或将危害降到最低，主要可采取以下技术手段：
1）为服务器升级最新的安全补丁程序：补丁包含操作系统、应用程序、数据库等，都需要打上最新的安全补丁，这个步骤是非常必要的，因为是程序内部的问题，是安全产品难以替代的，主要是为了防止缓冲溢出和设计缺陷等攻击。

2）封闭未用但开放的网络服务端口以及未使用的服务：
对于Windows server 2003操作系统，推荐使用TCP/IP筛选器，可以配合Windows server 2003系统防火墙，当然也可以通过操作比较复杂的IP安全策略来实现；
对于Linux操作系统，可以用自带的IPTable防火墙。
一般用户服务器上架前，会为用户服务器做好服务器端口封闭以及关闭不使用的服务，但不排除部分维护人员为了简便日常维护工作而开启，本工作是一个非常简单的任务，但会大大降低服务器被入侵的可能性，请务必实施。
3）设置复杂的管理员密码：无论是系统管理员、数据库管理员，还是FTP及网站管理员的密码，都务必要设置为复杂密码，原则如下：
不少于8位；至少包含有字母大写、字母小写和数字及特殊字符（@#!$%^&()等）；不要明显的规律。
4）合理设计网站程序并编写安全代码：网站目录设计上尽可能将只需要读权限的脚本和需要有写权限的目录单独放置，尽量不要采用第三方不明开发插件，将网站的程序名字按照一定的规律进行命名以便识别；编写代码过程重要注意对输入串进行约束，过滤可能产生攻击的字符串，需要权限的页面要加上身份验证代码。
5）设置合适的网站权限：
网站权限设置包括为每个网站创建一个专属的访问用户和网站目录文件的权限；网站目录文件权限设置原则是：只给需要写入的目录以写的权限，其它全为只读权限；
6）防止ARP欺骗的发生：
安装arp防火墙，并手动绑定网关mac地址。
手动绑定网关mac地址，网关mac地址，可以通过arp命令来查询。

（二）、必要的管理制度和应急处理措施
上文重点从技术的角度分析了最有效解决网页被篡改的安全方案，即我们首先应该把精力投入到做好防护工作上去，尽可能做到不让黑客劫持我们的网络、不让黑客入侵到我们的服务器中去，自然也就解决了网页被篡改的问题，但是作为不备之策，我们仍然强调必须做好以下几个方面的工作：
1）网站数据备份：我们必须做好数据备份工作，因为无论是黑客入侵、硬件故障等问题都可导致数据丢失，但我们可以用备份尽快的恢复业务，所以一定制订好持续的数据备份方案。
2）安全管理制度：任何技术手段的实施，如：打安全补丁、网站权限设置、复杂的密码、防火墙规则等，都需要人来进行完成，若没有良好的制度来指导和管理，那么一切都将是空话，因此，制订好一套行之有效的制度，并配备相关的实施人员，把技术手段贯彻下去是非常必要的。
3）应急处理措施：即便是再好的技术和管理，也不能保证攻击事件不会发生，因此我们要时刻做好网页被篡改的准备，准备好相应的检查、记录和恢复工具，准备好规范的应急步骤，一旦发生，以便有条不紊的尽快予以恢复，并进行记录和总结，必要的可保护现场并进行报案等处理。