大家都知道如果黑客入侵我們的網(wǎng)站后，他們是可以肆意的在上面搭載釣魚頁面，傳播惡意軟件，盜取敏感信息等，這非常不利于我們網(wǎng)站。

垃圾內(nèi)容和黑名單

近期，我們分析了一個被重定向到第三方域名的網(wǎng)站。黑客通常利用這種類型的惡意跳轉(zhuǎn)，劫持網(wǎng)站流量，重定向到其它網(wǎng)站。

黑客攻擊網(wǎng)站傳播垃圾內(nèi)容，出于兩個目的：

利用你的用戶提高影響力和產(chǎn)生流量

欺騙搜索引擎提高他們自己網(wǎng)站的排名

暫且不論他們的動機，這些垃圾內(nèi)容會影響你的網(wǎng)站的用戶和聲譽。

很不幸，許多站長直到收到來自用戶的反映、被加入黑名單，或者在搜索引擎結(jié)果頁面（Search Engine Result Pages ，SERP）上被加上警告標記時，才察覺他們的網(wǎng)站被黑。當Google懷疑某個網(wǎng)站在發(fā)布垃圾內(nèi)容，他們會在SERP中添加如下標記：

可以在這里了解更多關(guān)于這個標記的知識。

為了解決這一問題，站長需要按照這個步驟來移除SERP的警告。如果攻擊者用網(wǎng)站來傳播惡意軟件等不正當活動,Google會將該網(wǎng)站加入黑名單，給訪問者顯示如下頁面：

修改核心文件

如果幸運的話，站長可以快速識別出攻擊。但不幸的是，攻擊往往會潛伏幾天甚至幾周。黑客不斷研究新的方法調(diào)整和隱藏他們的惡意內(nèi)容，導(dǎo)致站長難以及時發(fā)現(xiàn)。

有一位站長發(fā)現(xiàn)他的網(wǎng)站把訪客重定向到一個惡意域名，如下：

[code]“windows7keyonsale.com/windows-8-c-9.html” “allsoftwaredownload.com/windows-8-1-product-key-generator/”[/code]

訪客被重定向到攻擊者的域名之后，會看到下面的圖片：

這太糟了，原來的網(wǎng)站并不是售賣Windows序列號的。

黑客插入了一些代碼，執(zhí)行重定向，如下：

規(guī)避搜索引擎

這段代碼做了什么？除了加載惡意頁面并展示給用戶之外，它還試圖規(guī)避搜索引擎的檢測。此類重定向的目的一般是，在站長不知情的情況下將流量定向到自己的域名。為了讓攻擊隱藏得更深，他們還會規(guī)避Google這樣的搜素引擎。

為了阻止Google將頁面標記為惡意，這段代碼試圖規(guī)避這一危險。如果SERP顯示了警告信息，搜索者就不大可能點擊它了，這會導(dǎo)致攻擊失效。

監(jiān)測和保護

每分鐘都有網(wǎng)站重定向，插入垃圾內(nèi)容，網(wǎng)站資產(chǎn)受到影響。我們也發(fā)現(xiàn)另外一個被黑的網(wǎng)站，攻擊者修改了CMS的核心文件，執(zhí)行惡意活動。如果你有文件完整性監(jiān)測工具，并且做了備份，就可以很容易恢復(fù)到網(wǎng)站的正常狀態(tài)。仔細檢查日志也很重要，可以找到被攻擊的起點，防止再次遭受攻擊。就防御而言，最好使用web應(yīng)用防火墻，以及修改密碼。

如果你發(fā)現(xiàn)網(wǎng)站被黑，想要自己清理網(wǎng)站，而且使用的是WordPress的話，可以參考這個方法-如何清理被黑的WordPress網(wǎng)站。