0x00 起因

作为西南地区idc行业技术支持，最近遇到用户反馈网站的访问统计出现了异常访问来源，查看到基本上都是非法赌博黄色网站，来源地址都是知乎的外链跳转https://link.zhihu.com/?target=http%3A//www.cdccql.com ，访问到www.cdccql.com 黄色网站

作为技术支持，用反馈我们就得苦逼查询原因。

0x01 分析

问客户要了百度官方导出的访问统计数据，根据访问统计的访问的异常关键词和url地址，到百度中健身，没有查看到相关的连接和非法信息。

结合网站日志，查看了一下，访问统计记录的时候，一样的网站访问是正常，时间还存在差异，部分时间并没有访问，并且对应的来源refer是正常地址，并非知乎link.zhihu.com，并且查看当时对应的连接页面是正常没有异常代码。

检测网站程序查看到网站程序没有异常挂马，通过文件效验工具，对全站源文件进行一次效验，也没有查看到被异常篡改的代码文件。
当前可以判断，应该不是网站的程序被挂马或挂非法信息导致。排查同服务器其他网站的访问统计都没有该现象。可以确定不是服务器问题。

问题到底出在哪了？

冷静了一下，考虑都是百度访问统计出现异常，是不是是统计出现异常了？想了一下百度统计是需要添加对应的统计代码，是不是在统计代码上出现问题了。
百度统计代码格式：

<script>
var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "//hm.baidu.com/hm.js?ee63d32124**********0a3696";
  var s = document.getElementsByTagName("script")[0]; 
  s.parentNode.insertBefore(hm, s);
})();</script> 

会不会是对应的网站添加了客户的访问统计代码导致,这个时间感觉自己接近了真相！

0x02 实验

说干就干马上拿自己的的网站百度统计代码，添加到测试站点的网页中，开始刷新访问。

果然不出所料，很快在自己的百度统计中出现该测试地址域名。

0x03 结论

结合上面的信息得出的一种可能性比较大的结果，这个非法信息网站www.cdccql.com 之前可能镜像该用户网站（非法信息网站镜像正常网站，这类事件经常发生，可以参考一下我之前写的文章https://www.lnmpweb.cn/archives/6633），对应的网站页面中缓存了用户网站的百度访问统计代码，导致百度其他用户访问到对应的非法网站的时候，对应的访问记录被用户的百度统计记录。
目前这种可能性最高，但是不排除其他问题有待观察，如有有其他分析结果，欢迎来邮liusqlf@163.com

0x04 处理

将百度统计中网站删除，重新申请添加百度统计，删除对应统计指的是在https://tongji.baidu.com/web/welcome/login 删除站点,重新申请统计,这样代码会变化