17c隐藏跳转是什么
17c隐藏跳转这个词在国内站长圈子里已经讨论了好几年,本质是一种利用HTTP响应或页面脚本对搜索引擎爬虫与真实用户呈现不同跳转目标的黑帽技术。它的名字里虽然有"17c",但并非标准HTTP状态码,而是早年一些黑帽SEO工具包中某个模块的代号,因为流传广,后来就被这么叫开了。
常规跳转无非是301、302或者meta refresh,但17c隐藏跳转会在服务端根据User-Agent分流:如果来访者是百度蜘蛛、Googlebot,就返回正常内容或者干脆不跳转;如果是普通浏览器用户,则悄悄导向博彩、色情或者诱导下载页。这种操作在网站安全检测里属于典型的流量劫持变体,一旦被搜索平台识别,轻则排名消失,重则整站被K。
17c隐藏跳转的常见实现形式
网上搜一圈就能发现,17c隐藏跳转的实现套路大致有三种,每种对服务器权限的要求不同,但核心逻辑都是“欺骗爬虫”。
- Nginx/Apache规则层跳转:在.htaccess或nginx.conf里用if判断$http_user_agent,命中百度爬虫则不走跳转逻辑,普通用户端返回302 Location到目标URL。这种方式的隐蔽性在于,直接查看服务器配置文件才能发现,而前端页面上毫无痕迹。
- PHP/Node.js动态头注入:代码里先获取
$_SERVER['HTTP_USER_AGENT'],再用正则过滤出蜘蛛IP段,满足条件就输出正常正文,否则header一个Location出去。因为逻辑埋得深,很多外包开发留下的后门就用这种方式。 - JavaScript客户端判断:页面加载后立刻执行一段JS,判断
navigator.userAgent,如果不是爬虫就用window.location.replace跳走。这种方式对服务器日志影响最小,但如果在HTTP响应头分析时对比抓取结果,还是能看出端倪。
避坑提醒:很多站长在清理17c隐藏跳转时只删了前端JS代码,却忽略了.htaccess或nginx配置里同时存在后端跳转规则,导致问题反复出现。排查一定要前后端同时进行。
如何检测网站是否存在17c隐藏跳转
我本人去年帮朋友排查过一个织梦站,就是典型的17c隐藏跳转——蜘蛛抓取一切正常,真人打开却跳到一个赌博页。下面这套检测方法已经帮多位博主验证过,操作门槛不高。
- 用Chrome开发者工具将User-Agent切换为百度爬虫(
Baiduspider+(+http://www.baidu.com/search/spider.htm)),刷新页面看看是否跳转。如果不跳,而正常UA会跳,基本可以确定存在分流策略。 - 通过在线抓取模拟工具对比蜘蛛抓取内容与真实浏览器看到的DOM差异,若返回的响应头里Location字段不一致,就是明显征兆。
- 登录服务器查看nginx错误日志和访问日志,搜索
"302"或"Location"关键字,找出非预期的跳转记录。如果是Apache,重点检查.htaccess中是否有RewriteCond匹配"%{HTTP_USER_AGENT}"。 - 使用
curl -I -A "Baiduspider" https://你的域名命令,观察返回的HTTP状态码和Location值。再换正常UA请求一次,对比两次响应头。
- Cloaking
- 指对搜索引擎与用户显示不同内容的做法,是百度反作弊规则里明确的违规行为,一旦被判定,整站会被惩罚。
- User-Agent分流
- 通过读取HTTP请求头中的User-Agent字段,决定返回何种内容,是17c隐藏跳转的核心技术特征。
清除17c隐藏跳转与加固网站
发现跳转后的第一步不是急于删代码,而是先完整备份当前文件与数据库,方便后续对比。接下来重点排查以下几个位置:
| 检查位置 | 常见跳转代码特征 | 优先级 |
|---|---|---|
| 根目录.htaccess | RewriteCond %{HTTP_USER_AGENT} !Baiduspider [NC] 等行 | 高 |
| 主题functions.php | 类似 if(!strpos($_SERVER['HTTP_USER_AGENT'],'Baiduspider')) | 高 |
| 首页header模板 | <script>内检测UA后跳转 | 中 |
| 数据库options表 | 被注入的JS标签或重定向meta | 中 |
清除干净后,建议做一轮反查——用服务器命令行递归搜索文件内容,关键词就是"Location:"和"userAgent",防止遗漏。此外,及时更新程序版本并配置WAF规则拦截流量劫持攻击的外连域名,能显著降低再次中招的几率。
常见疑问
17c隐藏跳转和302跳转有什么区别?
302是标准的临时重定向状态码,在响应头里明确告诉浏览器“本次跳转到新地址”。而17c隐藏跳转往往结合UA判断,只对部分流量发送302,对爬虫则返回200正常内容,所以更具有欺骗性。
百度能自动识别17c隐藏跳转吗?
百度反作弊系统会通过多次抓取结果比对、异常流量模型等方法识别这类行为。一旦确认,会直接施以“降权”“不收录”甚至“K站”惩罚,恢复周期很长。
我的网站被黑了,怎么快速清除所有隐藏跳转?
快速方法是先检查.htaccess和nginx配置,用文本编辑器搜索“Rewrite”“Location”关键字;同时备份数据库后用SQL语句搜索可能被注入的代码片段。清理后务必修复漏洞并更改所有登录密码。
长期保持站点清洁的做法
简单说,不要等出事了再查。每隔两周换不同UA、不同IP跑一遍网站页面,重点测试首页、栏目页和高流量文章页,看看是否出现异常跳转。再者,第三方统计代码、广告联盟脚本和插件更新也是常见的隐患入口,尽量用官方渠道下载,别从网盘或所谓的“优化版”获取。真正稳的做法就是定期比对服务器文件的MD5值,一旦出现未知变动,立即回溯日志。对大多数小站长来说,保持日常安全巡检的习惯,远比事后补救来得省心。
本文为本站原创内容,如需转载请注明出处。
本文永久地址:https://m.ace6232.cn/article/57142.html
文章观点仅供学习交流参考。
精选评论
我是用虚拟主机的,没法改nginx配置,看来只能从代码层面防。文章里说的定期校检MD5这个点,平时真的容易忽略,今天就去把文件做个基线。
请问,如果WordPress主题里被注入了那种PHP分流跳转,单靠扫描插件能查出来吗?还是必须手动搜functions.php?
做站这么多年,一直以为301/302就是正常跳转,没想到还有这种分流玩法,黑产真是防不胜防。文章里的curl命令我直接收藏了,以后新收的站先跑一遍。