網絡安全日益嚴峻，站長朋友們多多少少都遇到過被黑被劫持的經歷，對于老老實實做人，認認真真做站的朋友來說，好不容易做出了一點成績，一劫持就又回到解放前了，本期我們一起來探討常見的網站被黑被劫持的手段有哪些？如何防范與修復這些風險？   

一、網站被黑、被劫持的風險漏洞來源  

首先我們先來了解學習一下被黑、被劫持的幾種主要風險漏洞來源：  

我們認為一個站點要是內部劫持主要還是出現了以下幾方面的問題  

網站風險（上傳、注入、GetShell）  

主要因為站點使用自行開發或使用的開源程序存在上傳、注入、XSS、越權、私密信息泄露等漏洞，被黑客發現后利用上述站點的漏洞入侵獲得了站的shell，甚至是服務器的管理員權限，這類漏洞就需要開發人員有足夠多的安全意識，必要的情況下可以使用一些第三方安全監控程序排查或請國內的知名眾測、安全檢測公司進行檢測。  

軟件風險  

指的是服務器上的第三方軟件的風險，例如FLASH、FTP程序等導致的漏洞，特別是使用了一些破解程序的站點。針對這類情況希望站長可以使用正版程序或自行評估破解程序的安全系數后使用，并且能夠及時關注漏洞預警情況，對于大眾化的軟件風險目前的云服務商會先行出云補丁進行修復。  

系統風險  

操作系統級別的漏洞，大家都知道安全軟件和漏洞的修補機制都是事后補救措施，針對這一風險只能對于中小站長只能是及時關注盡快修復。  

人性風險  

人性風險主要指的是2大主要問題，其一是內部人員泄露，二是管理者本身的安全意識較為淺薄，例如在不安全的網絡環境下進行登錄驗證等操作。 

二、比較常見的幾種網站劫持方式以及預防修復方法  

好了，這里只是簡單的列舉了目前常見的一些安全風險點，下面我們在來學習一下目前較為流行的幾種劫持方式手段。想知道你的網站是否被劫持了，可以查看本站文章：如何查看判斷網站是否被劫持網站被劫持的危害及處理方法。想掌握更詳細的網站被劫持解決方案，可以查看網站被劫持怎么辦？怎么防御網站劫持？。  

1.流量劫持  

1.1整站跳轉  

這類劫持比較直接也比較容易被察覺，通常這類劫持者會通過在頁面內載入js或者在web服務器內植入代碼來達到全局劫持，但一般來說他們只會劫持從搜索引擎來路的流量以防止站長察覺后馬上修復。  

修補&預防方式：  

1.1.1建議安裝第三方防護軟件、定期檢查源碼異動情況。  

1.1.2關注服務器日志情況，排查異動登陸。  

1.1.3換IP在其他區域進行搜索點擊查看。  

1.2關鍵詞跳轉  

這種劫持方式會比較隱蔽，只會針對一部分的關鍵單獨跳轉，這是第一種方式的升級類型，需要站點定期檢查。  

1.3框架劫持  

這種方式較為常見，直接在網站加載時在源碼內增加js，隱藏原有頁面主體，顯示一些不為人知的廣告或頁面內容，大部分同樣限制來源為搜索引擎才觸發。  

1.4快照劫持  

快照劫持的方式是，搜索引擎來抓取時將你的頁面替換為帶特定關鍵詞的頁面，利用站點本身抓取建庫優勢來達到神不知鬼不覺的排名。  

修補&預防方式：  

這類方式需要站長多去關注一下你在百度頁面收錄和展現。  

1.5DNS劫持  

DNS劫持這種技術是目前來說最高端的一種方式，非接觸隨時可控，運營商直接在劫持你的站點跳轉到一些XXX網站，現在升級版還可以特定用戶、特定區域等使用了用戶畫像進行篩選用戶劫持的辦法，另外這類廣告顯示更加隨機更小，一般站長除非用戶投訴否則很難覺察到，就算覺察到了取證舉報更難。  

修補&預防方式：  

1.5.1取證很重要，時間、地點、IP、撥號賬戶、截屏、url地址等一定要有。  

1.5.2可以跟劫持區域的電信運營商進行投訴反饋。  

1.5.3如果投訴反饋無效，直接去工信部投訴，一般來說會加白你的域名。  

1.6第三方插件劫持  

最近的烽火算法一部分原因是因為某些廣告聯盟通過站點js劫持了百度搜索，劫持了百度搜索的結果頁面地址，這類聯盟細思極恐，背地里不知道干了多少類似的事情，當然有一部分可能也是電信運營商所為。  

這里大家必須要注意的是：廣告聯盟、統計工具。  

修補&預防方式：  

1.6.1盡量使用正規廠商（當然正規廠商也有被黑的風險）  

1.6.2既然不能不使用，多關注新聞。  

1.6.3有https版本盡量使用https版本。  

2.權重劫持  

2.1蜘蛛劫持  

這類手法更快照劫持理論上相同，目的不同，通過加載一些鏈接，讓蜘蛛更多的發現劫持者需要抓取的頁面。  

2.2301權重轉移