今天在处理客户网站挂马的时候,遇到了一个新型的挂马方式,之前遇到的都是通过gloab.asa文件来控制搜索引擎跳转页面的,这一次遇到的则是通过CSS代码来控制浏览器的跳转行为,请兄弟们发现这种情况的赶快清理掉。代码如下:


代码加载在客户首页中 <link href="/gdj/css/css1.css" rel="stylesheet" type="text/css">

代码的作用是:判断浏览器里面的Referer,也就是浏览器用来记录来源地址选项,如果来源地址中包含"google."、"baidu."、"soso."并且浏览器语言为"中文" 就跳转到http://www.gaokejimi.com/hei/#,但是由于代码的兼容性存在问题,css中的行为,expression和behavior只有IE才有效,FireFox无效,而且IE也只有IE5-IE7版本才支持,所以我们目前使用IE6,IE7的浏览器在通过百度,google,soso访问网站才会发生跳转的情况。

所以兄弟们如果遇到些类代码的话,果断清除之,同时做好网站安全工作。。