一．什么是快照劫持

　　快照劫持是利用黑客技术拿到了你的ftp，趁你不注意、蜘蛛正抓取你网站的时候把数据换掉（通常是晚上操作），等蜘蛛抓取完你的快照后再把数据换回来，这样你的网站快照就被劫持了，而且你检查代码也发现不了问题，由于修改主站标题、关键词、描述导致快照停留时间长。

　　二．正文

　　（1）发现问题

　　这次研究的是快照劫持之一的js快照劫持。

　　先普及一下知识点：快照劫持、搜索跳转其实是黑帽SEO利用站中站脚本自动繁殖文章“能熟练应用快照劫持(流量、爬虫、权重) 搜索跳转到自动繁殖文章（站中站脚本）做自己关键词获取定向流量的方法”搜索引擎快照劫持是通过代码来判断和识别蜘蛛访问的，若正常访问，则给出正常内容，若判断到是搜素引擎来访问，就给出另一个页面，使搜素引擎抓取快照进行改变，之后判断来路跳转。

　　三．总结

　　后记，所有被挂了跳转链接的网页中绝大多数都是建立在网站被getshell的基础上的，所以当你在维护网站的时候不能仅仅只删除js代码，还要系统性的对网站内的文件进行对比找出后门，不然只是治标不治本。

　　下面给几条遇到该问题时的解决方法：

　　1.看网站目录内有没有被上传的tools目录或tools类型文件。

　　2.校验文件-修改替换原始文件-设定404-举报/更新快照。

　　3.排查程序所有upload的功能，是否有漏洞，以及排查已经上传的文件是否有伪装为jpg之类的可执行文件。

　　4.检查所有程序文件，删除非项目中的文件。

　　5.排查进程是否有可疑的，找到进程文件，然后结束进程，想办法删除文件。

　　6.使用安全狗或者防火墙，对外打开cdn加速。

　　到这里我们这次的js快照劫持代码分析以及针对如何跳转的溯源就到这里啦，希望这次写的文章能让大家系统性的了解到js的劫持方式以及跳转原理。当各位管理员或者运维人员遇到此情况时能迅速排查问题，找出原因，并对网站进行加固。接下来我还会根据项目中遇到的这类事件进行真实案例针对性分析，希望能够让不了解的同学们对这个了解，了解一点的人懂得该如何去防范。这几天最流行这句话：BUG是代码产生的，代码是人写的，所以人才是最大的漏洞。所以看完这个文章如果有什么建议和疑问都可以留言，有建议我会采纳并改进，有疑问我也会在我能力范围内给你合理的解释。End。