本次处理的网站是已经被黑客入侵控制很长时间的，网站劫持是一个相对古老的技术，主要是黑帽用来做SEO用。实现网站劫持如以下步骤:

1. 入侵相关网站

2. 然后在网站中插入JS或修改其配置文件，增加相应的劫持代码。另外一般会加入判断条件，判断条件一般会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工，如果是人工会返回正常的网站；如果是爬虫，会返回相关博彩、娱乐类等黑客设置好的网站

3. 人工访问时，会显示正常网站。但是爬虫去访问时，返回是相关博彩、娱乐类网站，导致收录的却是黑客精心准备好的网站

4. 黑帽SEO基本上都是给爬虫收录的，对于正常的人工访问会返回正常的内容，所以导致这种网站很难发现、并且其存留时间相对较长

1.2 跳转判断

下面通过在实际工作中遇到的JS脚本来阐述JS劫持来实现跳转的方法。该JS脚本综合运用了判断IP归属地、UA、referer来进行跳转判断。

一.2 被篡改的应用分析

通过内容分析，发现此次黑客为SEO性质的。其主要目的在于通过黑帽SEO获取经济利益，一般情况下，黑客植入博彩内容有以下途径：

1\前端劫持一般都是在网站的相应页面中插入JS脚本，通过JS来进行跳转劫持。也有发现黑客直接修改相应的页面内容的。

2\服务器端劫持也称为后端劫持，其是通过修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都会加载的配置文件，如访问x.php时会加载conn.php。这样的话，只需要修改这些全局的动态脚本文件(如global.asax)，访问所有的aspx文件时都会加载这个global.asax文件，可以达到全局劫持的效果。

通过页面分析判断为在服务器端劫持，服务器端劫持一般是修改全局配置文件，如global.asax、global.asa、conn.asp、conn.php。通过对该服务器分析，发现其修改config_global.php该文件。植入如下内容：

这里面黑客将相应的劫持内容进行base64加密了，将其中base64加密的内容进行base64解密，得到以下内容：

其中 function isSpider()函数主要用来判断是否为爬虫访问，爬虫的浏览器特征如下：

$bots= array( 'baidu' => 'baiduspider', 'sogou' => 'sogou', '360spider' => 'haosouspider', '360spider' => '360spider', 'bingbot' => 'bingbot', 'Yisou' => 'Yisouspider',

如果是爬虫则返回http://l5.wang2017.com/相关的内容。

处置的话比较简单，直接将黑客增加的base64加密的内容删除即可，删除相关内容以后，访问正常。Webshell主要是网马，其作用为通过webshell可以控制整个服务器，并进行系统级别的操作，使用D盾对服务器查杀，发现存在23个webshell。

针对网站发现的23个webshell，目前相关webshell均已删除。