当你直接打开网址访问网站,是正常的,可是当你在搜索引擎结果页中打开网站时,会跳转到一些其他网站,比如博彩,虚假广告,淘宝搜索页面等.是的,你可能了遇到搜索引擎劫持. 现象描述 从搜索引擎来的流量自动跳转到指定的网页 问题处理 通过对index.php文件进行代码分析,发现该文件代码 对来自搜狗和好搜的访问进行流量劫持. 进一步跟着include函数包含的文件,index,php包含/tmp/.ICE-unix/.. /c.jpg. 进入/tmp目录进行查看,发现该目录下,如c.jpg等文件,包含…

新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象.被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑. 现象描述: 某新闻源网站首页广告链接被劫持到菠菜网站 有三个广告专题,链接形式如下: ​ http://www.xxx.cn/zhuanti/yyysc/index.shtml ​ http://www.xxx.cn/zhuanti/wwwsc/ind…

PC端访问正常,移动端访问出现异常,比如插入弹窗.嵌入式广告和跳转到第三方网站,将干扰用户的正常使用,对用户体验造成极大伤害. 现象描述 部分网站用户反馈,手机打开网站就会跳转到赌博网站. 问题处理 访问网站首页,抓取到了一条恶意js: http://js.zadovosnjppnywuz.com/caonima.js 我们可以发现,攻击者通过这段js代码判断手机访问来源,劫持移动端(如手机.ipad.Android等)流量,跳转到https://262706.com. 进一步访问https:/…

主要是利用了http协议的refereer头 另外一个头user-agnet 主要是用来做流量劫持 referer 头告诉服务器用户从哪里找来的 当用户通过搜索引擎打开网站时会出现源网页 referer头 我们来模拟用户查询 打开百度 注意的是看看网站有没有推荐码 ?tn=20058018_15_hao_pg 去掉 百度一下123 f12 查看referer 头 我们查询的源文件可以看到 不是百度 进去发现 也不是我们想要的hao123  显然已经被劫持 怎么做呢 首先获取hao123的refe…

作为一个网站管理员,你采用开源CMS做网站,比如dedecms,但是有一天,你忽然发现不知何时,网站的友情链接模块被挂大量垃圾链接,网站出现了很多不该有的目录,里面全是博彩相关的网页.而且,攻击者在挂黑页以后,会在一些小论坛注册马甲将你的网站黑页链接发到论坛,引爬虫收录.在搜索引擎搜索网站地址时,收录了一些会出现一些博彩页面,严重影响了网站形象. 原因分析 网站存在高危漏洞,常见于一些存在安全漏洞的开源CMS,利用0day批量拿站上传黑页. 现象描述: 某网站被挂了非常多博彩链接,链接形式如下:…

现象 江西客户手机端连接wifi打开URL,页面上显示淘宝店铺广告,使用手机移动网络打开正常,其他地区正常. 二. 处理过程 初步分析:3g.club项目使用了CDN,目前只有江西异常,其他地区无异常,说明问题范围仅在江西地区,根据业务人员反馈的问题现象,以及以往类似问题处理经验,该问题原因是可能是页面某个js被污染,导致污染的原因可能是dns解析被劫持 检查江西dns对3gclub的解析情况:我们使用江西dns对3g.club进行解析,并让客户在本地ping 域名返回结果,检查解析的IP是否是…

网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权.为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等. 现象描述 网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析. Webshell查杀工具: D盾_Web查杀 Window下webshell查杀:http://www.d99net.net/index.asp 河马:支持多平台,但是需要联网环境. 使用方法:…

一.搜索引擎工作原理 搜索引擎的工作分为三个阶段,即爬行,索引和检索 1.爬行  搜索引擎具有网络爬虫或蜘蛛来执行爬网,每次抓取工具访问网页时,它都会复制该网页并将其网址添加到索引中. 在“蜘蛛”抓取网页内容,提炼关键词的这个过程中,就存在一个问题:“蜘蛛”能否看懂.如果网站内容是 flash 和 js,那么它是看不懂的.相应的,如果网站内容是它的语言,那么它便能看懂,它的语言即 SEO 2.索引  此阶段,爬网程序会创建搜索引擎的索引.索引就像一本巨大的书,其中包含爬虫找到的每个网页的副本.如…

你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名.不对,不是新增了管理员,而是你的管理员用户名被篡改了. 现象描述 前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改 问题处理 1.网站webshell 在针对网站根目录进行webshell扫描,发现存在脚本木马,创建时间为2018-06-13 04:30:30 2. 定位IP 通过木马创建时间, 查看网站访问日志,定位到IP为:180…

网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改.而这种篡改事件在某些场景下,会被无限放大. 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去. 问题处理 1.确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 . 2.访问日志溯源 通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源…