網站被黑怎麽分析查找跳轉代碼

網站被黑症狀的一種形式，也就是web前端被黑了，我來說說網站頁面被劫持的一個(gè)症狀和處理方法。首先我們先來看一下這個(gè)症狀是什麽樣的，這裏我找到了一個(gè)客戶網站的案例，那麽當我在(zài)通過搜索某些關鍵詞的時候，當我點擊這個(gè)鏈接的時候，它會給你跳到這種違規網站的頁面上去，那麽怎麽樣判斷它是前端還是後端腳本進行了一個(gè)劫持呢，那麽我們就把這個(gè)鏈接複制過來，複制好了後，我打開這個(gè)調試面闆，然後在(zài)這裏有一個(gè) settings的這個(gè)一個(gè)設置按鈕，把這個(gè)disable javascript這個(gè)腳本把它禁用，那麽禁用之後把剛才這複制過來的這個(gè)快照鏈接把它複制過來，然後敲一下回車，就會發現發現它是不會跳轉的，所以對于這一種請求跳轉，我們把它稱之爲(wéi)叫做前端攔截。要是前一兩年這種形式還是比較少的，但是今年發現的就越來越多，原因是什麽，原因是PHP腳本裏包含跳轉代碼的話會被殺毒軟件直接查殺出來。

所以可能以前的那種形式，對于這些做劫持網站的這些人來講，以前的形式可能不是那麽好用了，所以說他們現在(zài)就開始琢磨着前端這一塊，所以這一種是前端的攔截，那麽這種問題該怎麽處理，那這種問題的話我們我來講一下這個(gè)處理方法，首先把這個(gè)禁用把它關閉掉，讓它恢複原狀，那恢複原狀之後，我們在(zài)這個(gè)控制面闆裏面打開這個(gè)網絡請求這個(gè)日志這裏把這個(gè)持續日志開起來，然後把這個(gè)緩存關掉，然後清出這個(gè)日志，然後再一次把這個(gè)鏈接把再請求一遍，那請求一遍之後，當然我這個(gè)浏覽器默認這裏我我是做了一定的調整的，當然他現在(zài)還沒(méi)有這樣，在(zài)這裏我們需要鼠标點一下右鍵，把這個(gè)what For what for其實就是對你的what for，那其實就是一個(gè)一個(gè)響應的一個(gè)先後順序關系。

你看他在(zài)這裏默認的情況下，他是從百度過來之後，他訪問首頁之後，他就加載JS代碼之後他就開始跳轉了，導緻跳轉之後這些請求他還沒(méi)加載完，但是他已經跳轉了，那這些日志的話，它就不會再繼續請求了，這樣的話它會一直是一個(gè)完成狀态，它這個(gè)圈圈也是沒(méi)有再轉了的，所以說它其實是一個(gè)已經加載完的一個(gè)狀态，這些的話是已經不會在(zài)加載了，所以對于要追蹤這個(gè)前端js哪裏出了問題，我們需要把這個(gè)日志排一下序，按什麽排序，按照what for下面的這個(gè) response time也就是這個(gè)響應的時間，而這些等待狀态的我肯定是因爲(wéi)它沒(méi)有加載完，所以說它肯定不是問題的一些腳本所在(zài)，這些就可以排除掉，那麽我們隻要按照看哪些已經加載的那個(gè)文件出了問題，隻要找對應的那些問題就可以了，我們按這個(gè) response time進行排一下序，那麽前面的404錯誤的，或者說他沒(méi)有去請教的這些fired我們都可以忽略掉，有點的也可以忽略掉，它是已經響應已經完成了，就是說已經加載的一些這些文件，你看他是從百度過來，然後訪問了首頁，然後加上了css然後在(zài)這些，按照這麽一個(gè)順序來的。

那麽當我們看看的時候，你會發現這裏有一個(gè)這樣的域名，那懇請這個(gè)域名的按CS的話，我們都大家都認識，那肯定一般性的也不會出太(tài)大的問題，盡管說cncc有可能官方有推廣廣告，但是這一次的話是可以排除的，它不是屬于這一個(gè)站點的，原來這個(gè)站點的一個(gè)個(gè)鏈接，所以我們就要追蹤一下這個(gè)腳本是怎麽來的，那怎麽樣追蹤。那麽我們就需要記住這三個(gè)鍵，記住，那麽記住什麽鍵，那麽記住的是這裏CTRL加shift加out這三個(gè)鍵，就是說你要按住這三個(gè)鍵control out shift的，然後你在(zài)這個(gè)日志上面滑動，然後你滑動到它的上面，你會看到上面有三個(gè)綠的，而較下面那一個(gè)綠的就是 PPT books也就是這個(gè)，這個(gè)它會顯示成綠色，那麽當我放在(zài)這個(gè)上面的時候，較後一個(gè)這個(gè)綠色的是是這個(gè)PPT books，這個(gè)腳本它是由PPT books發出來的，所以當我追蹤的時候，我按照control out shift的這三個(gè)鍵的時候，你就可以追蹤到這個(gè)腳本是怎麽來的，它是在(zài)頁面的第十六行的這一個(gè)腳本裏面出來的，那我們可以實現爲(wéi)了驗證一下，我們可以把這個(gè)腳本點開，然後查看一下這裏面的代碼，當然這個(gè)隻要你稍微有一點腳本的知識，沒(méi)有大問題，你隻要往下面翻，翻到較後面你會發現你看一下這裏有三個(gè)JS，那這個(gè)腳本的話就是從這裏發出來的，那發出來之後它發出來是個(gè)什麽鬼，我們點進去再轉到看一下。

Ok，多了一個(gè)雙引号，左邊看一下，你會發現原來在(zài)這裏的代碼，這個(gè)s等于它的一個(gè)來源地址，那麽當這個(gè)來源地址裏面存在(zài)搜索引擎蜘蛛的時候，它就會跳轉到這麽一個(gè)地址，複制地址打開後，其實就是這個(gè)違規内容網站的地址，所以說較終的罪魁禍首就是前端的問題。Ok那麽當我們找到這個(gè)位(wèi)置的話，那麽我們就可以定位(wèi)到這個(gè)文件把這些代碼删除，那麽這個(gè)的話你前端被黑被劫持的一個(gè)問題所在(zài)，那麽我們隻要找到這個(gè)腳本把它删掉就可以了。當然你會發現就是說這種情況下，你把這個(gè)域名複制過來，你直接請求打開他是不會跳轉的，因爲(wéi)你那個(gè)來源地址是直接輸入的，它就沒(méi)有那個(gè)來源地址，它不是從其他搜索引擎過來的，所以說它就不會進行跳轉，那麽對于這種情況我們可以直接上去找到JS，在(zài)js裏面這個(gè)PPT把這個(gè)腳本删除掉，那麽這個(gè)問題就會處理掉，如果遇到網站被反複篡改跳轉的話，就得對網站的源代碼進行安全(quán)審計，木馬後門清理，以及修複網站漏洞杜絕被再次篡改的風險，實在(zài)解決不掉的話可以向網站漏洞修複公司尋求技術支持。