關於黑產暗鏈的分析與看法
- 2020 年 3 月 6 日
- 筆記
1、黑產為什麼想要做暗鏈
以前黑產更多的情況是掛馬,直接獲取權限抓取肉雞。但是近些年由於掛馬的黑產形式,在各方面的條件影響下,成為了風險高,收益低的方式。暗鏈是近幾年黑色產業鏈最愛用的獲取利益方式之一,其也是黑帽SEO最愛用的方式之一。其最呈現出最明顯的方式就是在點擊搜索引擎上爬出的正常頁面,點擊進去跳轉到某菠菜,某色情頁面。
2、一些疑問
關於一些疑惑,為什麼這些黑產人員拿了站點的權限,為什麼不直接篡改主站,而是選擇子頁面。我認為這是趨於SEO的特性,黑產人員主要是為了提高菠菜站點的權重,而不是要一定要讓別人點擊進菠菜頁面。當黑帽SEO得到優化後,就能得到相應的報酬。所以,為了降低風險性,提高回報率,黑產人員沒必要直接篡改主站的所有內容,而是只需要掛在子頁面下即可達到SEO優化的目的。黑鏈主要分為前端劫持與服務端劫持前端劫持一般通過JS進行跳轉劫持,也有時候會直接通過修改頁面內容來進行服務端劫持,也稱為後端劫持,一般通過修改asp,jsp,php來進行劫持跳轉,一般劫持的腳本頁面為conn.php,config,global等全局配置文件。
3、一個JS劫持案例
1、這種網站一搜一大堆 有一些是本來就是博彩頁面,一些是偽造的
這裡找到一個論文代寫的網站
點擊某個頁面之後會快速跳轉其快速查看源代碼是在JS中加入了跳轉的信息這裡主要就是匹配UA信息來進行跳轉到博彩頁面,但是不管是否為爬蟲,都會跳轉到博彩頁面。
此外,還有博彩網站偽造正規網站被黑的案例,例如在百度快照中可以發現copy了一個學校的官網,以此匹配body中的關鍵字優化SEO
4、一次簡單實戰
某公司防火牆提示存在黑鏈文件,且標準黑鏈文件鏈接,如下圖
圖1 防火牆提示警告
但根據防火牆的提示訪問鏈接則會出現頁面不存在的提示
圖2 直接訪問鏈接
但是當我們使用搜索引擎通過關鍵字去搜索的時候就會發現訪問後,跳轉黑鏈文件
圖3 搜索引擎關鍵字
圖4 黑鏈跳轉網站
2.2事件原因分析
通過事情的表現,初步判斷應該是存在一個劫持跳轉的黑鏈文件,因此先用D盾掃描一下惡意文件,看是否存在惡意後門腳本,為避免將黑鏈刪除後,攻擊者立馬重新上傳,通過D盾掃描,發現兩個後門文件
圖5 D盾查殺黑鏈
圖6 一句話木馬
圖7 大馬後門
2018-10-24 23:45:16時刻被攻擊者上傳了一句話木馬。可以與菜刀等黑客工具配合使用,之後緊接着在23:52:21時刻又上傳大馬文件,為了更好的持續性攻擊網站,因此,基本上可以確定攻擊者思維,通過文件上傳或者遠程命令執行之類的漏洞,先上傳一句話木馬,後上傳大馬,之後再上傳黑鏈腳本。
使用notepad++在整個網站目錄下面搜索關鍵字spider來定位黑鏈,因為直接訪問黑鏈鏈接發現並不存在,而從搜索引擎去訪問的時候卻存在,說明黑鏈文件判斷了訪問的來源是否是搜索引擎,而一般這種做法就是來判斷UA是否來自搜索引擎,關鍵字就是spider,搜索後找到黑鏈文件
圖8 黑鏈文件
通過分析黑鏈文件,訪問文件中的域名www.612170.com/500.html,發現跟之前的黑鏈跳轉的網站一致
圖9 博彩網站
5、Tip
一些偶爾可以用來輔助檢測暗鏈的工具
1、http://web.archive.org/
2、http://whois.domaintools.com/
3、http://check.yunsee.cn/
4、SEOquake插件
一些關於暗鏈的實戰文章
1、 https://www.freebuf.com/articles/web/182117.html
2、 https://www.freebuf.com/articles/network/186071.html
3、 https://www.freebuf.com/articles/web/222060.html
6、暗鏈的隱藏方式
1、 https://www.freebuf.com/articles/web/134370.html
2、 https://thief.one/2016/10/12/%E9%BB%91%E5%B8%BDSEO%E4%B9%8B%E7%BD%91%E9%A1%B5%E5%8A%AB%E6%8C%81/
3、 https://www.sharecodeskill.com/hackers/hackpost/132
客戶端劫持:無非就是使用display:none或者color:font-size等字體顏色屬性與大小position屬性,將內容顯示與頁面可視範圍之外
DIV+JS調用
HTML批量植入
JS劫持跳轉
服務端劫持:通用配置文件劫持+dll文件劫持+hook文件劫持
