资讯信息
       宝鸡楼市
       二手房行情
       租赁行情
       商品住宅日成交
       预售许可证
    重点房源推介
    政策法律
    全国人大
    国务院
       行政法规
       国发国办文件
    部委规章文件
       住建部规章
       住建部文件
       财政税务局
       其它部委及法院
    省级法规及文件
    市级文件
       市政府文件
       市级部门文件
    证券法律政策
    专题报道
       经验分享
       资料分享
       股票知识
       健康保健
    加盟八千家
       加盟八千家
       经纪人天地
   
   当前位置--八千家资讯--经验分享--正文

被报挂马后的查找去除 - ua和refer作弊
    您访问8000j·宝鸡房地产网    录入:绿叶 时间:2014-10-27 16:53:52  点击数:1686    

网站在被黑的情况下,如果源代码内找不到,可能是黑客利用了ua或refer作弊的方式进行挂马,以下提供相关的技术点供站长进行排查:

1、针对ua作弊
通常称为Cloaking,指的是作弊者通过区分搜索引擎爬虫和用户浏览器,展示不同内容的手段,主要是为了欺骗搜索引擎。
cloaking介绍:http://baike.baidu.com/view/1979085.htm

判断方法:

需要修改自己的浏览器设置,以搜索引擎爬虫的方式来浏览网页,打开火狐,Ctrl+T新建一个浏览标签,输入:about:config,打开配置页面,右键点击页面选择“新建→字符串”,在弹出的窗口中 输入:general.useragent.override,确定之后,输入:Googlebot/2.1,继续确定,关闭窗口。

用百度蜘蛛爬这些网页,就是坏网页。浏览器直接访问,就是好网页。
如站点:http://www。guan****。gov。cn/
使用浏览器访问,这是个正常的政府网站,的确代码页不存在问题,如图

1.png


那为什么又被百度和scanv会报挂马拦截了呢?难道是被误报了?

2.png

3.png

我想如果站长不明事理,估计也该骂百度和安全联盟了,这不是误报,现在我们给你证明!

我们按照1的判断 方法试试把 用火狐浏览器修改配置

4.png

5.png

现在呢?是不是发现网页变了?没错这就是Cloaking!没有在源代码内展现,而是用了这种方式欺骗。

我们先看看它的实现方法,看看百科怎么说


Cloaking实现方法:
使用iis rewrite服务器伪静态工具,可以实现根据用户浏览器类别进行跳转 ,也就是当访问此页面的类型是Googlebot/2.1或Baiduspider那么执行命令跳转相应黑页:
  1. <strong>RewriteCond %{HTTP_USER_AGENT}</strong><strong>Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)  </strong><strong>RewriteRule ^/(.*)1 [F]</strong>
复制代码
那么要解决也就很简单,找到对应的项,去掉对应的rewrite,去掉对应的页面就OK了

2、针对refer作弊

作弊者通过判断流量refer,区分来自搜索引擎的流量还是其它流量。一般作弊者的目标流量都是搜索引擎流量,所以需要通过refer来判断流量是否有价值。

判断方法:

通过百度搜url,并加上关键词,用户通过百度访问这些url就能跳转到坏网站,直接通过浏览器访问就不能复现跳转。
这个的问题也是出在代码,一般js/header等,找到首页或者其他通用模块的代码中的这个代码去除掉就能解决

直接访问:http://www.yyrb.cn/xwzx/news/6218.html

6.png
可以看到是个新闻网,通过百度搜索这个网址,只有一个结果:
7.png

点击访问进入后,网址竟然直接跳转到
8.png 



这个的问题也是出在代码,一般情况可能是在js或者header等文件,找到首页或者其他通用模块的代码中的这个代码去除掉就能解决。


如果安全联盟公共报表内不包含其它问题,你就可以去提交申诉了。
申诉地址:http://www.anquan.org/seccenter/appeal_verify/




                                                 来源:安全联盟官方论坛

                                     http://bbs.anquan.org/forum.php?mod=viewthread&tid=18637
  • 上一篇文章: 被报篡改后的查找去除 - 源代码黑链查找

  • 下一篇文章: 【站长必读】玩转安全联盟,站长网站自查全攻略
    • 发表评论打印此文】【关闭窗口
      网友评论:(评论内容只代表网友观点,与本站立场无关!)
        没有任何评论


    Copyright @2005 All Rights Reserved
    版权所有:8000j网(八千家)
    声明:本网站文章、数据来源于网络,仅供学习之用,不构成投资建议,如有侵权,电函后3日内删除。
    电话:0917-15309175008 E-mail:8000j@163.com
      八千家(8000j)网已经向网民服务 19 年56 个月,即共7204 天14 小时55分40 秒
    八千里路云和月,让爱有个家!——八千家(8000j)