关于黑产暗链的分析与看法

2020-03-06 15:22:31 浏览数 (1)

1、黑产为什么想要做暗链

以前黑产更多的情况是挂马,直接获取权限抓取肉鸡。但是近些年由于挂马的黑产形式,在各方面的条件影响下,成为了风险高,收益低的方式。暗链是近几年黑色产业链最爱用的获取利益方式之一,其也是黑帽SEO最爱用的方式之一。其最呈现出最明显的方式就是在点击搜索引擎上爬出的正常页面,点击进去跳转到某菠菜,某色情页面。

2、一些疑问

关于一些疑惑,为什么这些黑产人员拿了站点的权限,为什么不直接篡改主站,而是选择子页面。我认为这是趋于SEO的特性,黑产人员主要是为了提高菠菜站点的权重,而不是要一定要让别人点击进菠菜页面。当黑帽SEO得到优化后,就能得到相应的报酬。所以,为了降低风险性,提高回报率,黑产人员没必要直接篡改主站的所有内容,而是只需要挂在子页面下即可达到SEO优化的目的。黑链主要分为前端劫持与服务端劫持前端劫持一般通过JS进行跳转劫持,也有时候会直接通过修改页面内容来进行服务端劫持,也称为后端劫持,一般通过修改asp,jsp,php来进行劫持跳转,一般劫持的脚本页面为conn.php,config,global等全局配置文件。

3、一个JS劫持案例

1、这种网站一搜一大堆 有一些是本来就是博彩页面,一些是伪造的

这里找到一个论文代写的网站

点击某个页面之后会快速跳转其快速查看源代码是在JS中加入了跳转的信息这里主要就是匹配UA信息来进行跳转到博彩页面,但是不管是否为爬虫,都会跳转到博彩页面。

此外,还有博彩网站伪造正规网站被黑的案例,例如在百度快照中可以发现copy了一个学校的官网,以此匹配body中的关键字优化SEO

4、一次简单实战

某公司防火墙提示存在黑链文件,且标准黑链文件链接,如下图

图1 防火墙提示警告

但根据防火墙的提示访问链接则会出现页面不存在的提示

图2 直接访问链接

但是当我们使用搜索引擎通过关键字去搜索的时候就会发现访问后,跳转黑链文件

图3 搜索引擎关键字

图4 黑链跳转网站

2.2事件原因分析

通过事情的表现,初步判断应该是存在一个劫持跳转的黑链文件,因此先用D盾扫描一下恶意文件,看是否存在恶意后门脚本,为避免将黑链删除后,攻击者立马重新上传,通过D盾扫描,发现两个后门文件

图5 D盾查杀黑链

图6 一句话木马

图7 大马后门

2018-10-24 23:45:16时刻被攻击者上传了一句话木马。可以与菜刀等黑客工具配合使用,之后紧接着在23:52:21时刻又上传大马文件,为了更好的持续性攻击网站,因此,基本上可以确定攻击者思维,通过文件上传或者远程命令执行之类的漏洞,先上传一句话木马,后上传大马,之后再上传黑链脚本。

使用notepad 在整个网站目录下面搜索关键字spider来定位黑链,因为直接访问黑链链接发现并不存在,而从搜索引擎去访问的时候却存在,说明黑链文件判断了访问的来源是否是搜索引擎,而一般这种做法就是来判断UA是否来自搜索引擎,关键字就是spider,搜索后找到黑链文件

图8 黑链文件

通过分析黑链文件,访问文件中的域名www.612170.com/500.html,发现跟之前的黑链跳转的网站一致

图9 博彩网站

5、Tip

一些偶尔可以用来辅助检测暗链的工具

1、http://web.archive.org/

2、http://whois.domaintools.com/

3、http://check.yunsee.cn/

4、SEOquake插件

一些关于暗链的实战文章

1、 https://www.freebuf.com/articles/web/182117.html

2、 https://www.freebuf.com/articles/network/186071.html

3、 https://www.freebuf.com/articles/web/222060.html

6、暗链的隐藏方式

1、 https://www.freebuf.com/articles/web/134370.html

2、 https://thief.one/2016/10/12/黑帽SEO之网页劫持/

3、 https://www.sharecodeskill.com/hackers/hackpost/132

客户端劫持:无非就是使用display:none或者color:font-size等字体颜色属性与大小position属性,将内容显示与页面可视范围之外

DIV JS调用

HTML批量植入

JS劫持跳转

服务端劫持:通用配置文件劫持 dll文件劫持 hook文件劫持

0 人点赞