网站内容劫持 广告(一下常见的网站劫持手法和排查思路)

　　网站内容劫持 广告(一下常见的网站劫持手法和排查思路)

　　攻击者入侵网站后，往往通过恶意劫持流量获取收益，从而实现流量变现。存在一些无法防范的黑帽劫持策略，在正常访问行为中很难发现异常。今天给大家分享常见的网站劫持技巧和排查思路。

　　我们可以根据不同的隐藏目的，根据常见的劫持技术做一个简单的分类：

　　1、将爬虫与用户正常访问分开，实现搜索引擎快照劫持

　　2、将移动端与PC端的访问分开，实现移动端的流量劫持

　　3、根据用户访问来源进行判断，实现特定来源网站劫持

　　4、如果获取管理员的真实IP地址，实现特定区域的流量劫持

　　5、按照访问路径/关键词/时间段设置，实现特定路径/关键词/时间段的流量劫持

　　基于以上，实现的方式有很多种，比如客户端js劫持、服务器代码劫持、301重定向、恶意反向代理、IIS模块劫持等。

　　01、客户端js劫持

　　在网页中插入js脚本，通过js进行url跳转。一般情况下会使用js混淆和加密来增加识别难度。

　　如下： 通过js劫持搜索引擎的流量。

var s=document.referrer;

　　if(s.indexOf("baidu")>0||s.indexOf("soso")>0||s.indexOf("google")>0||s.indexOf("yahoo")>0||s.indexOf("sogou")>0||s.indexOf("youdao")>0||s.indexOf("bing")>0)

　　{self.location='http://www.xxxx.com'; }

　　排查思路：查看网页源代码或抓包分析http流量，找到源代码中插入的js代码，删除js代码后恢复。

　　02、 服务器代码劫持

　　网站 源代码被篡改，在首页或配置文件中引入恶意代码。

　　如下： 通过判断User-agent和Referer进行快照劫持。

　　排查思路：查看网站首页引入了哪些文件，依次访问相关文件的源代码，确认可疑代码，删除收录文件后恢复。备份网站源代码和文件完整性验证非常重要，可以帮助我们在数万行代码中快速找到恶意代码。

　　03、nginx反向代理劫持

　　我遇到过网站网页的防篡改，无法通过修改网站的源码进行劫持。攻击者可以修改nginx的配置文件，通过常规规则匹配url链接，配置proxy_pass实现url劫持。

location ~ /[0-9a-z]+sc

　　{

　　proxy_pass https://www.xxxx.com/;

　　}

　　排查：总结url劫持的规律，中间件配置文件也是需要注意的地方。

　　04、 使用301重定向劫持