網站被挾持了需要做什麼

港澳小肖2501438221發表於2023-01-05

網站被黑症狀的一種形式,也就是web前端被黑了,我來說說網站頁面被劫持的一個症狀和處理方法。首先我們先來看一下這個症狀是什麼樣的,這裡我找到了一個客戶網站的案例,那麼當我在透過百度搜尋某些關鍵詞的時候,當我點選這個連結的時候,它會給你跳到這種菠菜的頁面,那麼怎麼樣判斷它是前端還是後端PHP進行了一個劫持,那麼我們就把這個連結複製過來,複製好了後,我開啟這個除錯皮膚,然後在這裡有一個 settings的這個一個設定按鈕,把這個disable javascript這個指令碼把它禁用,那麼禁用之後把剛才這複製過來的這個快照連結把它複製過來,然後敲一下回車,就會發現發現它是不會跳轉的,所以對於這一種請求跳轉,我們把它稱之為叫做前端攔截。要知道前一兩年這種形式還是比較少的,但是今年發現的就越來越多,原因是什麼,原因是PHP指令碼里包含跳轉程式碼的話會被防毒軟體直接查殺出來。

所以可能以前的那種形式,對於他們這些做黑產的這些人來講,以前的形式可能不是那麼好用了,所以說他們現在就開始琢磨著前端這一塊,所以這一種是前端的攔截,那麼這種問題該怎麼處理,那這種問題的話我們我來講一下這個處理方法,首先把這個禁用把它關閉掉,讓它恢復原狀,那恢復原狀之後,我們在這個控制皮膚裡面開啟這個網路請求這個日誌這裡把這個持續日誌開起來,然後把這個快取關掉,然後清出這個日誌,然後再一次把這個連結把再請求一遍,那請求一遍之後,當然我這個瀏覽器預設這裡我我是做了一定的調整的,當然他現在還沒有這樣,在這裡我們需要滑鼠點一下右鍵,把這個what For what for其實就是對你的what for,那其實就是一個一個響應的一個先後順序關係。

你看他在這裡預設的情況下,他是從百度過來之後,他訪問首頁之後,他就載入JS程式碼之後他就開始跳轉了,導致跳轉之後這些請求他還沒載入完,但是他已經跳轉了,那這些日誌的話,它就不會再繼續請求了,這樣的話它會一直是一個完成狀態,它這個圈圈也是沒有再轉了的,所以說它其實是一個已經載入完的一個狀態,這些的話是已經不會在載入了,所以對於要追蹤這個前端js哪裡出了問題,我們需要把這個日誌排一下序,按什麼排序,按照what for下面的這個 response time也就是這個響應的時間,而這些等待狀態的我肯定是因為它沒有載入完,所以說它肯定不是問題的一些指令碼所在,這些就可以排除掉,那麼我們只要按照看哪些已經載入的那個檔案出了問題,只要找對應的那些問題就可以了,我們按這個 response time進行排一下序,那麼前面的404錯誤的,或者說他沒有去請教的這些fired我們都可以忽略掉,有點的也可以忽略掉,它是已經響應已經完成了,就是說已經載入的一些這些檔案,你看他是從百度過來,然後訪問了首頁,然後加上了css然後在這些,按照這麼一個順序來的。

那麼當我們看看的時候,你會發現這裡有一個這樣的域名,那懇請這個域名的按CS的話,我們都大家都認識,那肯定一般性的也不會出太大的問題,儘管說cncc有可能官方有推廣廣告,但是這一次的話是可以排除的,它不是屬於這一個站點的,原來這個站點的一個個連結,所以我們就要追蹤一下這個指令碼是怎麼來的,那怎麼樣追蹤。那麼我們就需要記住這三個鍵,記住,那麼記住什麼鍵,那麼記住的是這裡CTRL加shift加out這三個鍵,就是說你要按住這三個鍵control out shift的,然後你在這個日誌上面滑動,然後你滑動到它的上面,你會看到上面有三個綠的,而最下面那一個綠的就是 PPT books也就是這個,這個它會顯示成綠色,那麼當我放在這個上面的時候,最後一個這個綠色的是是這個PPT books,這個指令碼它是由PPT books發出來的,所以當我追蹤的時候,我按照control out shift的這三個鍵的時候,你就可以追蹤到這個指令碼是怎麼來的,它是在頁面的第十六行的這一個指令碼里面出來的,那我們可以實現為了驗證一下,我們可以把這個指令碼點開,然後檢視一下這裡面的程式碼,當然這個只要你稍微有一點指令碼的知識,沒有大問題,你只要往下面翻,翻到最後面你會發現你看一下這裡有三個JS,那這個指令碼的話就是從這裡發出來的,那發出來之後它發出來是個什麼鬼,我們點進去再轉到看一下。

Ok,多了一個雙引號,左邊看一下,你會發現原來在這裡的程式碼,這個s等於它的一個來源地址,那麼當這個來源地址裡面存在有百度、搜狗、搜搜這些搜尋引擎的時候,它就會跳轉到這麼一個地址,複製地址開啟後,其實就是這個菠菜網的地址,所以說最終的罪魁禍首就是前端的問題。Ok那麼當我們找到這個位置的話,那麼我們就可以定位到這個檔案把這些程式碼刪除,那麼這個的話你前端被黑被劫持的一個問題所在,那麼我們只要找到這個指令碼把它刪掉就可以了。當然你會發現就是說這種情況下,你把這個域名複製過來,你直接請求開啟他是不會跳轉的,因為你那個來源地址是直接輸入的,它就沒有那個來源地址,它不是從百度也不是從其他搜尋引擎過來的,所以說它就不會進行跳轉,那麼對於這種情況我們可以直接上去,js裡面這個PPT把這個指令碼刪除掉,那麼這個問題就會處理掉,如果遇到網站被反覆篡改跳轉的話,就得對網站的原始碼進行安全審計,木馬後門清理,以及修復網站漏洞杜絕被再次篡改的風險,實在解決不掉的話可以向網站漏洞修復公司尋求技術支援。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70014415/viewspace-2930999/,如需轉載,請註明出處,否則將追究法律責任。

相關文章