大家都知道如果黑客入侵我們的網(wǎng)站后，他們是可以肆意的在上面搭載釣魚頁(yè)面，傳播惡意軟件，盜取敏感信息等，這非常不利于我們網(wǎng)站。

垃圾內(nèi)容和黑名單

近期，我們分析了一個(gè)被重定向到第三方域名的網(wǎng)站。黑客通常利用這種類型的惡意跳轉(zhuǎn)，劫持網(wǎng)站流量，重定向到其它網(wǎng)站。

黑客攻擊網(wǎng)站傳播垃圾內(nèi)容，出于兩個(gè)目的：

利用你的用戶提高影響力和產(chǎn)生流量

欺騙搜索引擎提高他們自己網(wǎng)站的排名

暫且不論他們的動(dòng)機(jī)，這些垃圾內(nèi)容會(huì)影響你的網(wǎng)站的用戶和聲譽(yù)。

很不幸，許多站長(zhǎng)直到收到來(lái)自用戶的反映、被加入黑名單，或者在搜索引擎結(jié)果頁(yè)面（Search Engine Result Pages ，SERP）上被加上警告標(biāo)記時(shí)，才察覺(jué)他們的網(wǎng)站被黑。當(dāng)Google懷疑某個(gè)網(wǎng)站在發(fā)布垃圾內(nèi)容，他們會(huì)在SERP中添加如下標(biāo)記：

可以在這里了解更多關(guān)于這個(gè)標(biāo)記的知識(shí)。

為了解決這一問(wèn)題，站長(zhǎng)需要按照這個(gè)步驟來(lái)移除SERP的警告。如果攻擊者用網(wǎng)站來(lái)傳播惡意軟件等不正當(dāng)活動(dòng),Google會(huì)將該網(wǎng)站加入黑名單，給訪問(wèn)者顯示如下頁(yè)面：

修改核心文件

如果幸運(yùn)的話，站長(zhǎng)可以快速識(shí)別出攻擊。但不幸的是，攻擊往往會(huì)潛伏幾天甚至幾周。黑客不斷研究新的方法調(diào)整和隱藏他們的惡意內(nèi)容，導(dǎo)致站長(zhǎng)難以及時(shí)發(fā)現(xiàn)。

有一位站長(zhǎng)發(fā)現(xiàn)他的網(wǎng)站把訪客重定向到一個(gè)惡意域名，如下：

[code]“windows7keyonsale.com/windows-8-c-9.html” “allsoftwaredownload.com/windows-8-1-product-key-generator/”[/code]

訪客被重定向到攻擊者的域名之后，會(huì)看到下面的圖片：

這太糟了，原來(lái)的網(wǎng)站并不是售賣Windows序列號(hào)的。

黑客插入了一些代碼，執(zhí)行重定向，如下：

規(guī)避搜索引擎

這段代碼做了什么？除了加載惡意頁(yè)面并展示給用戶之外，它還試圖規(guī)避搜索引擎的檢測(cè)。此類重定向的目的一般是，在站長(zhǎng)不知情的情況下將流量定向到自己的域名。為了讓攻擊隱藏得更深，他們還會(huì)規(guī)避Google這樣的搜素引擎。

為了阻止Google將頁(yè)面標(biāo)記為惡意，這段代碼試圖規(guī)避這一危險(xiǎn)。如果SERP顯示了警告信息，搜索者就不大可能點(diǎn)擊它了，這會(huì)導(dǎo)致攻擊失效。

監(jiān)測(cè)和保護(hù)

每分鐘都有網(wǎng)站重定向，插入垃圾內(nèi)容，網(wǎng)站資產(chǎn)受到影響。我們也發(fā)現(xiàn)另外一個(gè)被黑的網(wǎng)站，攻擊者修改了CMS的核心文件，執(zhí)行惡意活動(dòng)。如果你有文件完整性監(jiān)測(cè)工具，并且做了備份，就可以很容易恢復(fù)到網(wǎng)站的正常狀態(tài)。仔細(xì)檢查日志也很重要，可以找到被攻擊的起點(diǎn)，防止再次遭受攻擊。就防御而言，最好使用web應(yīng)用防火墻，以及修改密碼。

如果你發(fā)現(xiàn)網(wǎng)站被黑，想要自己清理網(wǎng)站，而且使用的是WordPress的話，可以參考這個(gè)方法-如何清理被黑的WordPress網(wǎng)站。