今天所做的努力
都是在为明天积蓄力量

百度统计出现https://link.zhihu.com/?target=http%3A//www.cdccql.com,原因和解决办法

0x00 起因

作为西南地区idc行业技术支持,最近遇到用户反馈网站的访问统计出现了异常访问来源,查看到基本上都是非法赌博黄色网站,来源地址都是知乎的外链跳转https://link.zhihu.com/?target=http%3A//www.cdccql.com ,访问到www.cdccql.com 黄色网站

作为技术支持,用反馈我们就得苦逼查询原因。

0x01 分析

问客户要了百度官方导出的访问统计数据,根据访问统计的访问的异常关键词和url地址,到百度中健身,没有查看到相关的连接和非法信息。

结合网站日志,查看了一下,访问统计记录的时候,一样的网站访问是正常,时间还存在差异,部分时间并没有访问,并且对应的来源refer是正常地址,并非知乎link.zhihu.com,并且查看当时对应的连接页面是正常没有异常代码。

检测网站程序查看到网站程序没有异常挂马,通过文件效验工具,对全站源文件进行一次效验,也没有查看到被异常篡改的代码文件。
当前可以判断,应该不是网站的程序被挂马或挂非法信息导致。排查同服务器其他网站的访问统计都没有该现象。可以确定不是服务器问题。

问题到底出在哪了?

冷静了一下,考虑都是百度访问统计出现异常,是不是是统计出现异常了?想了一下百度统计是需要添加对应的统计代码,是不是在统计代码上出现问题了。
百度统计代码格式:

<script>
var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "//hm.baidu.com/hm.js?ee63d32124**********0a3696";
  var s = document.getElementsByTagName("script")[0]; 
  s.parentNode.insertBefore(hm, s);
})();</script> 

会不会是对应的网站添加了客户的访问统计代码导致,这个时间感觉自己接近了真相!

0x02 实验

说干就干马上拿自己的的网站百度统计代码,添加到测试站点的网页中,开始刷新访问。

果然不出所料,很快在自己的百度统计中出现该测试地址域名。

0x03 结论

结合上面的信息得出的一种可能性比较大的结果,这个非法信息网站www.cdccql.com 之前可能镜像该用户网站(非法信息网站镜像正常网站,这类事件经常发生,可以参考一下我之前写的文章https://www.lnmpweb.cn/archives/6633),对应的网站页面中缓存了用户网站的百度访问统计代码,导致百度其他用户访问到对应的非法网站的时候,对应的访问记录被用户的百度统计记录。
目前这种可能性最高,但是不排除其他问题有待观察,如有有其他分析结果,欢迎来邮liusqlf@163.com

0x04 处理

将百度统计中网站删除,重新申请添加百度统计,删除对应统计指的是在https://tongji.baidu.com/web/welcome/login 删除站点,重新申请统计,这样代码会变化

 

 

赞(0)
未经允许不得转载:流觞 » 百度统计出现https://link.zhihu.com/?target=http%3A//www.cdccql.com,原因和解决办法
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址