网站内容劫持 广告(一下常见的网站劫持手法和排查思路（一）——一下)

　　网站内容劫持 广告(一下常见的网站劫持手法和排查思路（一）——一下)

　　攻击者入侵网站后，往往通过恶意劫持流量获取收益，从而实现流量变现。存在一些无法防范的黑帽劫持策略，在正常访问行为中很难发现异常。今天给大家分享常见的网站劫持技巧和排查思路。

　　我们可以根据不同的隐藏目的，根据常见的劫持技术做一个简单的分类：

　　1、 将爬虫与正常用户访问分离，实现搜索引擎快照劫持

　　2、 将移动端和PC端接入分离，实现移动端流量劫持

　　3、根据用户访问来源判断，实现特定来源网站劫持

　　4、如果获取管理员的真实IP地址，就可以劫持特定区域的流量

　　5、根据访问路径/关键词/时间段设置，实现具体路径/关键词/时间段流量劫持

　　基于以上，实现的方式有很多种，比如客户端js劫持、服务器代码劫持、301重定向、恶意反向代理、IIS模块劫持等。

　　01、客户端js劫持

　　在网页中插入js脚本，通过js进行url跳转。一般情况下会使用js混淆和加密来增加识别难度。

　　如下： 通过js劫持搜索引擎的流量。

　　排查思路：查看网页源代码或抓包分析http流量，找到源代码中插入的js代码，删除js代码后恢复。

　　02、 服务器代码劫持

　　网站 源代码被篡改，在首页或配置文件中引入恶意代码。

　　如下： 通过判断User-agent和Referer进行快照劫持。

　　故障排除：查看网站首页引入了哪些文件，依次访问相关文件源代码，确认可疑代码，删除收录文件后恢复。备份网站源代码和文件完整性验证非常重要，可以帮助我们在数万行代码中快速找到恶意代码。

　　03、nginx反向代理劫持

　　我遇到过网站网页防篡改，无法通过修改网站的源码进行劫持。攻击者可以修改nginx的配置文件，通过常规规则匹配url链接，配置proxy_pass代理转发，实现url劫持。

　　位置 ~ /[0-9a-z]+sc {

　　代理通行证；

　　}

　　排查：总结url劫持的规律，中间件配置文件也是需要注意的地方。

　　04、 使用301重定向劫持