• 用编辑器漏洞植入SEO暗链,700个网站被植入恶意链接

    2019-02-27 09:02 稿源:雷锋网  0条评论

    黑客1.jpg

    图片来源图虫:已授站长之家使用

    ?#20154;?#19968;个悲伤的故事。

    有一天,小明跟爸爸说,爸,我想报个培训班,拔高一下自己的数学成绩。然后,小明拽着爸爸来到电脑前,在X度里输入了老师推荐给他的培训班的官网地址~回车。屏幕一晃,一个不可描述的网站出现在二人面前。

    父子俩大瞪眼睛愣了半天,爸?#26893;?#24320;口,小明,这,就是你说的那个想报的培训班?没等小明摇头,爸爸“暖暖”的大巴掌就乎了上来。小明哭着坐在?#25764;?#19978;,一脸委屈:为什么会这样呢?

    你以为是小明误输入了成人网站的网址,不,那的确是一个正经的培训网站地址。?#23548;?#19978;,这个培训网站被黑客植入恶意链接,只要一打开就自动跳转色情网站。

    然而,这不是故事,这是事实。

    昨天,绿盟科技应急响应团队发文称检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。雷锋网得知,包括政府、企业、教育、医疗、金融在内的 700 多个网站被植入恶意链接,截止目前还有 440 余个网站仍?#21019;?#32622;。

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    受影响行业?#24613;确植?/strong>

    “先不说其他,单一个教育网站跳转色情网站就是个大麻烦。要知道,每天会访问此类网站的人以学生、家长、老师居多,如果随便打开个培训网站就跳出一堆不可描述内容,那还?#35828;茫俊?/p>

    为什么一个正经的网站会变得如此“疯狂?#20445;?#19979;面编辑就来?#25945;?#19968;下这个话题。

    政府网页犹如“窗户纸”

    原本一个天然无公害的网站是如何被黑产选作攻击目标的呢?

    “相比其他网站,上述提到的这些网站安全性更低。”国家互联网应急?#34892;?#36816;行部主任王明华称,比较而言,篡改网页是比较浅层的攻击手段。滞后的网站建设致使它成为攻击政府网站的主要手段之一。

    2018 年 9 月,安全?#22836;?#24067;了《 2018 年度上半年暗链监测分析报告》对全国?#27573;?#20869;的暗链情况进行统计。报告显示,仅上半年,全国就有近 13 万起暗链事件,涉及5. 6 万余个网站,其中95.93%是企业站点。据统计,被植入暗链的政府机关网站有 215 个,事企单位有 827 个。

    中国软件评测?#34892;?#20027;任助理王友奎称,政府信息公开栏目建设始终停留在“过去式?#20445;?#29978;至有的还对黑灰产攻击大开“天窗”。这些网站一方面携带大量的“睡眠网站”、“僵尸网站?#20445;?#21478;一方面也严重拉低政府在大众面?#26263;?#20844;信力。

    雷锋网得知,为了优化网站质量,仅以?#26412;?#24066;政府为例,决定在各项服务“提质不减量”的前提下,于 2018 年底把全市 1042 家各类政府网站精简90%以上,只保留 80 多家。据介绍,?#26412;?#24066;目前共有政府网站 1042 个,其中市政府门户网站 1 个;市级部门网站 95 个,垂直管理单位网站 115 个; 16 个区和?#26412;?#32463;济技术开发区有网站 831 个。

    “群众把政府的网站建设程度与政府的管理水平、服务态度画上?#35828;群牛?#32473;政府形象打?#35828;头鄭?#25552;升政府信息公开栏目建设规范化程度迫在眉睫。”

    同样的情况,在各大培训网站上也十分常见。如果说政府层面更多的是出于“年久失修”导致,那这类培训网站则是为了节省成本将网络安全的重要性?#23376;?#33041;后,对于黑产来说这样的网站极易被“攻陷”。

    王明华向雷锋网(公众号:雷锋网)透漏,对于网络安全意识的淡化,导致网站在上线之初就没有一个像样的团队来做维护,甚?#37327;?#32622;多年也无人?#24335;頡?#23545;于很多企事业单位来说,网站更像是一个摆设,没有任何实质性的用途。这样的空壳漏洞百出,自然也就成为了寄生恶意网站的温床。

    什么是SEO暗链?

    黑产如何对上述网站实施攻击?#21487;?#25991;提到,黑产利用编辑器漏洞进行未授权访问,并上传了相关恶意HTML页面。那么,SEO暗链是如何做?#25945;?#36716;色情网站的呢?

    在回答这两个问题之前,我们首先要知道什么是暗链。

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    正如其名,暗链就是指看不见的网站链接。由于暗链的嵌入做的十分隐蔽,短时间内很难被察觉,更不会自动跳转。这?#33267;?#25509;类似于友情链接,对于单独页面可以?#34892;?#25552;高其PR值。暗链分为两种情况,一种是主动隐藏别人网站的链接,另一种则是盗取自己的模板进而在上面保存很多自己的绝对地址。当发起量足够多的时候,就会被搜索引擎判定为作弊(要么别人网站作弊,要么自己的网站作弊)。

    一般情况下,黑客通过设置使链接在页面不可见,但?#23548;?#21448;存在,可以通过源码查看。通常方?#25509;?#22914;设置css,使div等不可见或者使div的边距为负数,总之只要在页面上看不到就行,其位置一般处在源码的底部或者顶部。

    雷锋网了解到,尽管暗链本身不能实现跳转,但是SEO技术中的Cloaking(隐?#25105;?#38754;或者桥接页面)能够?#38405;?#19968;个网页预先制作两个版本,让搜索引擎和浏览者?#30452;?#30475;到不同的网页内容(采用识别访问者身份的技术)。搜索引擎抓取这个网页?#20445;?#33719;得的是?#30475;?#20026;了优化某些关键词而组织的内容,而网页浏览者看到的是另一个截然不同的内容。

    实?#22336;?#27861;:

    使用iis rewrite服务器?#26412;?#24577;工具,可以实现根据用户浏览器类别进行跳转 ,也就是当访问此页面的类型是Googlebot/2. 1 或Baiduspider那么执行命令跳转相应黑页:

    RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)

    RewriteRule ^/(.*)1 [F]

    Cloaking是典型的SEO作弊,黑产可以通过这一行为快速?#27604;?#21033;益。?#28304;耍?#25628;索引擎一旦识别就会对网站进行严厉?#22836;!?/p>

    当然,除了SEO暗链,也有其他方式实现类似的网站跳转效果。在这里,编辑为大家整理出两种简单介绍给大家:

    1、referer作弊攻击

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    上面两张图中访问的是同一链接,却对应不同的页面

    referer作弊是黑产针?#36816;?#32034;引擎、大型网站做的黑帽SEO,其他点在于只有通过搜索引擎访问会跳转,直接访问则不会跳转。在知乎上一个典型案例中,有网友反应网站通过搜索引擎访问后边跳转到了博彩页面也是因为受到了referer作弊攻击。

    2、UA作弊

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

    对同一个地址,UA作弊攻击可以制作两个完全不同的页面。正常情况下,访?#30690;?#32593;页显示的是原本的页面,但是当把UA改成搜索引擎爬虫的UA后,再次查看到的就是另一个页面了。

    参考来源:知乎;瞭望东方周刊

    相关文章

    相关热点

    查看更多
    ?
    黑龙江11选5玩法