从入侵到变现——“黑洞”下的黑帽SEO剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

从入侵到变现——“黑洞”下的黑帽SEO剖析

申博_行业观察 申博 229次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

概述

因为互联网进口流量主要被搜刮引擎占有,网站在搜刮引擎中的排名直接影响到市场营销结果,因而SEO效劳应运而生。SEO(Search Engine Optimization)全称为搜刮引擎优化,是指应用搜刮引擎的划定规矩进步网站在相干搜刮引擎内的天然排名。SEO效劳分为两种:一种是正当的技术手腕,经由过程站内优化、站外优化、内容建立等公道手腕提拔网站排名;第二种是运用做弊手腕疾速提拔网站在搜刮引擎内的排名,好比运用蜘蛛池、暗链、站群、客户端挟制、效劳端挟制等黑客技术手腕,这类一般称为黑帽SEO。

黑帽SEO效劳的对象一般为不法的产物或网站。与正当的SEO技术效劳比拟,黑帽SEO的结果非常疾速,能够或许在短时间内提拔排名举行疾速推行,且推行的网站内容不受执法束缚。黑客的主要目标是攫取不法的经济好处,黑帽SEO是黑客疾速变现的主要手腕。在地下收集世界已形成了一条完全的黑色家当链:黑客应用网站存在的平安破绽,经由过程入侵手腕猎取网站的控制权并植入后门,将后门出售给黑帽SEO运营者,黑帽SEO经由过程暗链、网站挟制等技术手腕改动网站内容,为黄、赌、赌等不法站点举行搜刮引擎推行。

阿里云平安团队于近日跟踪到了一个应用web破绽入侵网站并经由过程挟制网站首页举行批量SEO推行的黑产团伙 。此黑产团伙控制网站数目伟大,推行的网站多为不法的博彩类网站,对互联网家当存在伟大的伤害。被入侵网站每每被植入多个后门,可被黑客反复应用,成为黑产的取利对象,存在伟大的平安风险。该黑产团伙的上游黑客构造控制了大批IP基础设施,为了绕过平安防备,天天运用数千个署理/秒拨IP举行猖獗入侵。

因为该黑产团伙控制的外部链接域名注册邮箱均为[email protected],因而我们将其命名为DaSheng。

被控制网站散布

经由临时跟踪发明,仅2019年1月到3月,该黑产团伙就控制并应用了最少12700个站点。从被植入暗链网页的顶级域名散布来看,”.com”占比最多,占总数的72%。被植入暗链的网站存在为数不少的非营利构造/当局网站,绝大部分为地方性行业协会网站,但也有像中国XXX生长研讨中、中国XXX生长同盟等全国性协会网站。行业协会/当局网站具有较高公信力,黑帽SEO“傍”上这些网站能够或许在搜刮引擎里疾速进步排名,然则宣布的“黄赌毒“信息严峻影响了网站的公信力。网站存在暗链也意味着存在严峻的平安破绽,若是不实时修复有能够激发严重的收集平安事宜。

从入侵到变现——“黑洞”下的黑帽SEO剖析

图1:被挟制网站顶级域名散布

从入侵到变现——“黑洞”下的黑帽SEO剖析

图2:某当局网站被植入暗链

黑帽SEO手段剖析

该黑产团伙经由过程被入侵网站的webshell后门在网站首页的头部插进去以下代码,该代码会修正页面title、keywords、description,并推断阅读者是不是是百度搜刮引擎,若是不是搜刮引擎则将网站titile修正为正当内容,以到达隐蔽本身的目标:

从入侵到变现——“黑洞”下的黑帽SEO剖析

被修正的内容经由过程HTML的ASCII编码隐蔽,复原后为罕见的博彩类关键词:

从入侵到变现——“黑洞”下的黑帽SEO剖析

第二段js脚本是经由殽杂编码的,实行后获得新的js,并链接到黑产团伙控制的外部javascript

从入侵到变现——“黑洞”下的黑帽SEO剖析

实行后的js:

从入侵到变现——“黑洞”下的黑帽SEO剖析

该js代码会自意向百度站长平台和360站长平台推送网页内容,并经由过程referrer推断阅读者是不是来自搜刮引擎,若是是则跳转到实在的被推行网站。

从入侵到变现——“黑洞”下的黑帽SEO剖析

我们在搜刮引擎中搜刮其推行的暗链关键词,能够看到多个被入侵的网站在搜刮引擎处在排名靠前的地位。

域渗入技能:MachineAccountQuota的应用

MachineAccountQuota(MAQ)是一个域级别的属性,默认情况下允许非特权用户将最多10台计算机连接到Active Directory(AD)域。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算

从入侵到变现——“黑洞”下的黑帽SEO剖析

图3:被黑帽SEO改动的正当网站

进击向量

黑帽SEO团伙运用的webshell后门一般是由上游的黑客构造供应,经阿里云平安团队研讨跟踪到了DaSheng的最大“供货商”。该黑客团伙从2019年1月份最先变得非常活泼,主要运用2018年发作的2个Thinkphp5长途代码实行破绽,偶然也会运用别的的web破绽。依据其运用的webshell文件名和主要的入侵体式格局,我们将其命名为ThinkphpDD。

该团伙的进击payload中会从http://43.255.29.112/php/dd.txt下载歹意代码,该代码是一个webshell后门。一般入侵胜利几天以后就会被DaSheng黑产团伙应用,为了能够或许临时控制站点,DaSheng会在被入侵网站的分歧目次植入多个webshell后门,该后门具有较强的免杀性。

从入侵到变现——“黑洞”下的黑帽SEO剖析

从入侵到变现——“黑洞”下的黑帽SEO剖析

图4:被植入的webshell后门

黑客团伙运用的进击payload:

从入侵到变现——“黑洞”下的黑帽SEO剖析

从入侵到变现——“黑洞”下的黑帽SEO剖析

从入侵到变现——“黑洞”下的黑帽SEO剖析

IP基础设施

一般进击者运用的IP因为存在歹意进击行为会被IPS、防火墙等平安设备阻拦。ThinkphpDD为了绕过平安防护猎取最大的好处,运用了大批IP举行收集进击,从2019年1月最先天天运用几千个IP举行进击。并且运用的IP复用率低,被该团伙应用过的IP已凌驾10万个。运用过的IP绝大部分来自中国,占比89%。连系阿里云的署理IP要挟谍报,最少有86%的IP是匿名署理或秒拨IP。可见该团伙为了猎取黑产好处投入伟大。

从入侵到变现——“黑洞”下的黑帽SEO剖析

图5:黑客运用的IP数目趋向

从入侵到变现——“黑洞”下的黑帽SEO剖析

图6:黑客进击次数趋向

从入侵到变现——“黑洞”下的黑帽SEO剖析

图7:黑客运用的IP国度散布

从入侵到变现——“黑洞”下的黑帽SEO剖析

图8:黑客运用的IP泉源散布

平安发起

1、用户应实时更新效劳,或修补网站破绽,制止成为入侵的受害者;

2、用户可对网站源代码举行检测,实时清算被植入的网站后门、歹意代码;

3、发起运用阿里云平安的下一代云防火墙产物,能够或许实时阻断歹意进击、设置装备摆设智能战略,能够或许有用资助防备入侵;

域渗入技能:MachineAccountQuota的应用

MachineAccountQuota(MAQ)是一个域级别的属性,默认情况下允许非特权用户将最多10台计算机连接到Active Directory(AD)域。我第一次接触MAQ是在我作为网络管理员的时候。当时我被分配了一个将远程主机加入AD的任务。在添加了十台计算


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明从入侵到变现——“黑洞”下的黑帽SEO剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址