搜索引擎劫持——博彩专题

原创 SEO培训  2019-08-02 13:39  阅读 3 views 次 评论 0 条

为什么出此专题


长久以来,EMLab攻防实验室结合网安协查办案,发现不少政府网站被篡改的案例,相信这一直是大家的痛点。特出此专题,为大家扫盲。废话不多说,直接上硬菜。


故事开始前,先给大家恶补一下什么是博彩。博彩,在业内又称为菠菜bc,你在百度上直接搜博彩,是搜不出什么结果的,当你百度菠菜网站或者bc网站的时候,就会豁然开朗


博彩网站客户来源


  1. 联盟挂广告大家应该都没少见,当你在看小说或媒体信息时,突然一个令你喷血的窗口。。。

  2. 和一些站长合作,众所周知黄堵不分家,许多色情网站上都做着菠菜平台的广告,咳咳!本来打算插个图,但是发现即便我全部打码,也实在贴不出来,不要问我车牌号多少,无照驾驶中,,,

  3. 电话销售人员、专门打电话和群发短信广告来获取用户。但是这个人力成本、管理成本会比较高。

  4. 搜索引擎劫持。搜索引擎劫持是目前黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、博彩等暴利行业;

  5. 黑吃黑。利用同行网站漏洞,盗取同行网站的用户数据例如:用户的电话、微信之类的。然后在通过电话或短信或聊天工具把用户挖到自己的平台玩。


博彩网站的分类


简单来说,博彩网站分为广告版流量版两种。


广告版就是大家经常见到的上面全是博彩图片、链接的广告。就像下图所示,为了避嫌,萌萌的马赛克送上-_-!



当然高级黑帽的引流方式不一样,广告版所需网站大部分为国内gov以及pr高,权重高的大站。gov省级的排名高,权高的在1000左右一天。这是各方面比较高的省级gov。国家级gov一般都在1000往上。这里只是说的博彩的一个广告版所需的站点每日价格。至于博彩自己每日流水主要是看流量吸引来的客户群体。这也就是大家网站老碰到网站篡改被挂马的原因...


流量版就是博彩站本身。国内博彩站数不胜数,大多都是小平台,经常被人拿下脱裤子出去卖或是洗钱,再不然就是做到一定程度,拿钱走人,换个域名继续骗钱。


搜索引擎劫持——博彩专题 黑帽优化 第1张


至于大的平台比如九州,澳门什么的属于大平台。金额不定,成本不高。关键在于博彩自己的广告版和流量,排名等数据。做起来很费钱,但是做好之后利润很高。而且大平台都是有风险管控体系的,想在上面赚大钱是不可能,这辈子都不能赚到钱的,或者当你真的赚到大钱的时候,你会突然发现平台跑路了ヾ(✿゚▽゚)ノ


好了,简单讲解一下博彩,终于到了本文的精华部分:


搜索引擎劫持


搜索引擎劫持就是当黑客入侵网站后,在网站中加入js或修改全局配置文件,增加相应的劫持代码。并且一般会加入判断条件,会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工,如果是人工会返回正常的网站;如果是爬虫,会返回相关博彩、娱乐类等黑客设置好的网站,偶尔也会碰到人工也会跳转的。当然还有个别会判断地点、时间等有针对性的筛选受害人。


搜索引擎劫持主要分为服务端劫持、客户端劫持。其表现形式主要分两种:劫持跳转与劫持呈现的内容。目前被广泛应用于私服、博彩等暴利行业。


  1. 客户端劫持主要利用的就是通过在网页中插入js脚本进行劫持跳转。

  2. 服务端劫持主要利用的就是通过在服务器上修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种全局文件,来实现全局劫持的效果。


搜索引擎劫持内容细分的话又分为劫持快照关键词title网站描述网站logo网页内容等。黑灰产主要用来:非法盗取流量及seo(搜索引擎优化)排名


真题讲解


这里给大家举一个真实案例帮助大家深入了解一下搜索引擎劫持。以下案例中体现到的文件名,日期,名称等都是虚拟的。


2018年5月x日,xxxx政府门户网站发现主页被非法篡改,篡改内容为博彩网站。


搜索引擎劫持——博彩专题 黑帽优化 第2张


接到通知时,访问首页查看源代码,没有发现恶意代码。百度搜索查看快照,发现快照内容正常,不过关键词等信息已被篡改。可见这里对方进行了agent判断。


远程客户的服务器,查看网站代码文件,发现磁盘里有几次备份记录,首页代码文件创建日期为昨天创建,猜测首页代码已经恢复。


查找最近被修改的文件,发现有大量文件在近期都被修改,后来联系客户得知客户发现网站出现异常,当即就用以前的备份将网站代码给覆盖了,此路不通。


发现服务器装有安全狗和免费版G01,当即查看日志,发现隔离区存在不少木马,使用文件编辑器查看木马,发现php一句话木马,php大马,还有部分跳转木马。在其中一个木马中发现一个js外链。


搜索引擎劫持——博彩专题 黑帽优化 第3张

具体代码这里就不列出来了,木马末尾还伪造404,功能比较新颖,根据不同的refer来源,不同的agent,甚至还有ip黑名单,呈现的内容都不一样,有的跳转博彩站,有得则是博彩新闻,直接访问该php是404。于是我们直接访问该js


搜索引擎劫持——博彩专题 黑帽优化 第4张

查看代码,大致功能是如果是手机端访问,则跳转到注册页面,如果不是则跳转至另一个博彩首页。与网安提供的截图一致,至此找到关键性线索。


根据查杀日志,找到此文件的文件名为1.php,查看文件属性,发现文件修改时间为2018年5月x日,查看当时日志,对方修改文件使用的木马文件2.php,为post型大马,由于其采用新型的加密方式,可直接过狗实现上传。


搜索引擎劫持——博彩专题 黑帽优化 第5张


批量查询最近一个月的2.php访问记录,发现上千条记录,将日志导出至Excel,得知服务器早在去年就已被攻陷,中间上上下下,大致有四次被黑产利用,分别被用于彩票,赌博。其中手段不一,中间还有很多比较有意思的木马,自动组合关键词,文章,随机生成博彩页面。


根据攻击者的ip变动情况,分析ip发现攻击者使用的是真实宽带,收集部分ip,并取证交给网安。


搜索引擎劫持——博彩专题 黑帽优化 第6张

至此,整篇文章就结束了,主要目的在于给大家扫盲,大神绕过


作者:98K       编辑:信大天瑞  EMLab攻防实验室



本文源自微信公众号:EMLab攻防实验室

历史上的今天:

本文地址:https://www.dgseo163.com/seos/7519.html
关注我们:请关注一下我们的微信公众号:扫描二维码黑帽seo | SEO技术核心算法培训_黑帽优化实战赚钱技术推广 – 黑桃K的公众号,QQ:1358589665
版权声明:本文为原创文章,版权归 SEO培训 所有,欢迎分享本文,转载请保留出处!

评论已关闭!