云企logo

http流量劫持之后开启了整站HTTPS加密访问

更新日期:2020-08-25  

昨天就是无意间进入了一个百度搜索页面,之后打开所有的http协议网站均跳转到了一些木马网站或者赌博色情网站,很是郁闷,多次找了联通投诉之后,技术上门来修复,通过换宽带账号和光猫更换等一系列操作之后,发现是光猫被攻击,篡改了数据,导致联通无法从机房下载数据,重置数据,*终通过更换光猫,重新做数据解决了。

但是通过上述一系列的操作,身心疲惫,然后又坐立不安!网站采用的是http协议,如果以后还出现这样的情况呢,如果别人光猫被攻击了,在访问我司网站的时候,也被强制跳转到垃圾广告页面怎么办?他们可不一定懂这些,反而可能会直接投诉你网站,以为是你的网站导致的,反而不会考虑到自身的问题,那需要指出的是,虽然不是因为网站漏洞导致的被篡改,但还是有必要做https加密协议的,因为昨天的一系列攻击均是针对的http协议!

话不多说,开始步入正题,我是如何通过阿里云主机申请ssl证书,并启用https协议的?

①登录阿里云主机,申请免费ssl证书,点击下方图片查看大图

阿里云ssl证书申请

点击强制HTTPS加密访问下面的开启按钮,进入申请页面,注意如果更换了网站目录,登录FTP,找到对应的.well-known文件夹,将其复制到对应的网站目录下,否则会申请失败!

②申请通过以后,开启整站https跳转,.htaccess文件代码如下:

#网站https加密重定向

RewriteEngine on

RewriteCond %{SERVER_PORT} !^443$

RewriteRule ^(.*)?$ https://%{SERVER_NAME}/$1 [L,R]

③修改模板代码对应的文件,找出非https的文件,全部改为https,包括流量统计代码,都要获取https格式的!如我的网站页面有一个js文件里包含了一段百度分享代码,如果网站页面存在非http的文件脚本,浏览器会有相关提示,这点对于用户来说不太友好,由于一贯的做事风格不允许我这么做,加之我网站并没有再继续使用百度分享代码,而且百度分享代码也没有进行整站加密,因此我直接将其删除了!(一般大型平台都有自己的https文件获取方式)

上述一系列都做完之后,别忘了等一段时间去百度做一下https认证,如果刚做好https加密的话,百度反应没那么快,你直接去申请认证会失败的!

题外话:http流量劫持,就仅仅是通过一个百度搜索页面就造成了,而造成这些的根本原因是很多企业做了网站之后一直没维护,导致页面挂马,他们可能觉得没啥影响,但实际呢?你影响了每一位访问你网站的访客,你的网站给他们带来了或多或少的损失,如果你建站的目的仅仅是为了摆设的话,奉劝一下各位老板,你*好还是直接选择用第三方的页面吧,反正你也是为了省事,那何不更省事一些,维护都不用维护了,第三方程序他们为了自身的安全,肯定会维护自己的页面,另外我要说的是,不要盲目建站,建了站就要好好维护,长期不维护,只会给黑客或者黑帽一个下手的平台让他们肆意妄为的使用你的站,关键人家还不花钱,如果这就是你建站的目的,那请您醒醒吧!别建站了!省下这一份钱,去做您自己擅长的渠道推广吧!也别把整个互联网生态污染了!黑客盛行,黑帽盛行,更多的是站长的不作为导致的!另外百度虽然有责任,但是更多的责任在于站长自身,这里的站长指的是所有网站的管理者,在此提醒一点:也许有的网友打开了一些网站,结果跳转到了一下广告页面,结果会抱怨这个网站,投诉这个网站或者百度或者其他搜索引擎,实际可能并不是人家网站导致的(当然也不排除你现在浏览的网站本身就挂马了,但这个不是今天要说的,咱说的是因之前访问别人网站,导致了你网络被攻击,然后打开任意安全的网站都会出现广告弹窗的情况),也不是百度故意而为之的!而是你自己之前进入了一些被挂马的网站(不管是正规的网站也好还是不正规的网站也罢),导致了你网络宽带被篡改导致的!

以下是劫持自动添加的js文件及其底部广告镶嵌页,点击图片查看对应大图!(访问任意http协议网站都会出现多余的三个代码,这都不是正常网站上添加的代码,均是通过篡改宽带网络导致的!拦截了正常的终端判断,本该显示移动端样式,通过篡改网络,修改了指向,更甚者,直接在底部调用广告悬浮框,截图存证!)

劫持文件

劫持文件

 

上一篇:腾讯微视开启短视频带货模式

下一篇:付费竞价广告全是有钱人的游戏?
首页