前幾天，有一客戶向我們SINE安全公司反映，網(wǎng)站在google上的推廣已拒登，說什么網(wǎng)站存在惡意軟件或垃圾軟件，導(dǎo)致google廣告無法上線，還發(fā)現(xiàn)網(wǎng)站從google搜索點(diǎn)擊進(jìn)去會(huì)直接跳轉(zhuǎn)到其他網(wǎng)站上，直接輸入網(wǎng)址不會(huì)跳轉(zhuǎn)。客戶自己嘗試解決了很多天，解決不了，眼看著給公司帶來了很大的損失，我們立即安排技術(shù)，對客戶的網(wǎng)站安全進(jìn)行全面的檢測。

客戶網(wǎng)站被google拒登的截圖如下：

客戶網(wǎng)站用的是wordpress博客系統(tǒng)，PHP+mysql數(shù)據(jù)庫架構(gòu)，使用的godaddy虛擬主機(jī)，我們跟客戶要了FTP賬號(hào)密碼，以及主機(jī)的賬號(hào)密碼，對網(wǎng)站的所有代碼進(jìn)行打包下載到本地，進(jìn)行人工的安全審計(jì)。

導(dǎo)致從google點(diǎn)開公司網(wǎng)站產(chǎn)生跳轉(zhuǎn)的原因是網(wǎng)站被篡改，該跳轉(zhuǎn)代碼做了判斷，根據(jù)用戶請求包的HTTP Rerferer字段中是否包含“google”字符串而分別返回不同的頁面，如果包含“google”字符串，則返回一個(gè)包含某德國IP的網(wǎng)站域名，直接輸入網(wǎng)址的來路，不會(huì)跳轉(zhuǎn)，這樣做的目的就是隱藏網(wǎng)站被攻擊的癥狀，讓管理員無法察覺，另外一個(gè)目的用于增加其他網(wǎng)站在搜索引擎中的排名，也算是黑帽SEO的一種盈利方式.

被攻擊的還有一個(gè)特點(diǎn)，只要訪問服務(wù)器上確實(shí)存在的php文件的話，即便添加了Referer也不會(huì)跳轉(zhuǎn)，只有訪問不存在的URL的時(shí)候，才會(huì)進(jìn)入對Referer是否包含“google”的判斷流程，這個(gè)是攻擊者在相關(guān)配置文件里參與了手腳，我們已經(jīng)在配置文件代碼里找到了，看來這個(gè)攻擊者很高級(jí)，代碼寫的很牛。對網(wǎng)站的木馬后門進(jìn)行檢測，發(fā)現(xiàn)網(wǎng)站的根目錄下還存在一個(gè)webshell木馬后門文件，立即對其進(jìn)行了刪除htmlwp-contentxml.php.該后門是一句話木馬代碼，很小的一個(gè)代碼，導(dǎo)致網(wǎng)站可以被篡改，上傳，改名等網(wǎng)站管理員的一些權(quán)限操作。那為什么網(wǎng)站會(huì)被上傳木馬文件呢?是由于，wordpress前段時(shí)間被爆出網(wǎng)站漏洞，可以遠(yuǎn)程執(zhí)行代碼，漏洞文件存在于用戶評(píng)論功能的代碼里，我們對wordpress漏洞進(jìn)行了修復(fù)，以及各個(gè)文件夾的權(quán)限安全部署，去掉PHP腳本執(zhí)行權(quán)限,如果對程序代碼不熟悉的話可以去找專業(yè)的網(wǎng)站安全公司來處理解決。國內(nèi)如Sine安全,綠盟,啟明星辰等等的網(wǎng)站安全服務(wù)商。

網(wǎng)站被篡改跳轉(zhuǎn)的問題解決后，剩下的就是幫助客戶提交到google adwords，讓廣告重新審核，google有自己的安全檢測機(jī)制，大約安全審核需要3-5天，google廣告會(huì)自動(dòng)上線。

關(guān)于已拒登：惡意軟件或垃圾軟件的解決辦法

首先檢測網(wǎng)站的安全，是否含有惡意代碼，就像上述客戶網(wǎng)站一樣，被跳轉(zhuǎn)到了其他網(wǎng)站上去，這個(gè)就是惡意代碼導(dǎo)致的，會(huì)被google檢測出來，再一個(gè)就是對網(wǎng)站的漏洞進(jìn)行修復(fù)，以及webshell木馬后門的清除，防止網(wǎng)站再次被篡改，導(dǎo)致google廣告繼續(xù)被拒登。