首页 > 安全 > 关键词 > SEO暗链最新资讯 > 正文

用编辑器漏洞植入SEO暗链,700个网站被植入恶意链接

2019-02-27 09:02 · 稿源:雷锋网

黑客1.jpg

图片来源图虫:已授站长之家使用

先说一个悲伤的故事。

有一天,小明跟爸爸说,爸,我想报个培训班,拔高一下自己的数学成绩。然后,小明拽着爸爸来到电脑前,在X度里输入了老师推荐给他的培训班的官网地址~回车。屏幕一晃,一个不可描述的网站出现在二人面前。

父子俩大瞪眼睛愣了半天,爸爸才开口,小明,这,就是你说的那个想报的培训班?没等小明摇头,爸爸“暖暖”的大巴掌就乎了上来。小明哭着坐在沙发上,一脸委屈:为什么会这样呢?

你以为是小明误输入了成人网站的网址,不,那的确是一个正经的培训网站地址。实际上,这个培训网站被黑客植入恶意链接,只要一打开就自动跳转色情网站。

然而,这不是故事,这是事实。

昨天,绿盟科技应急响应团队发文称检测到多家政府、教育、企事业单位网站被黑客植入恶意链接,访问链接后会跳转到指定色情网站。雷锋网得知,包括政府、企业、教育、医疗、金融在内的 700 多个网站被植入恶意链接,截止目前还有 440 余个网站仍未处置。

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

受影响行业占比分布

“先不说其他,单一个教育网站跳转色情网站就是个大麻烦。要知道,每天会访问此类网站的人以学生、家长、老师居多,如果随便打开个培训网站就跳出一堆不可描述内容,那还了得?”

为什么一个正经的网站会变得如此“疯狂”?下面编辑就来探讨一下这个话题。

政府网页犹如“窗户纸”

原本一个天然无公害的网站是如何被黑产选作攻击目标的呢?

“相比其他网站,上述提到的这些网站安全性更低。”国家互联网应急中心运行部主任王明华称,比较而言,篡改网页是比较浅层的攻击手段。滞后的网站建设致使它成为攻击政府网站的主要手段之一。

2018 年 9 月,安全客发布了《 2018 年度上半年暗链监测分析报告》对全国范围内的暗链情况进行统计。报告显示,仅上半年,全国就有近 13 万起暗链事件,涉及5. 6 万余个网站,其中95.93%是企业站点。据统计,被植入暗链的政府机关网站有 215 个,事企单位有 827 个。

中国软件评测中心主任助理王友奎称,政府信息公开栏目建设始终停留在“过去式”,甚至有的还对黑灰产攻击大开“天窗”。这些网站一方面携带大量的“睡眠网站”、“僵尸网站”,另一方面也严重拉低政府在大众面前的公信力。

雷锋网得知,为了优化网站质量,仅以北京市政府为例,决定在各项服务“提质不减量”的前提下,于 2018 年底把全市 1042 家各类政府网站精简90%以上,只保留 80 多家。据介绍,北京市目前共有政府网站 1042 个,其中市政府门户网站 1 个;市级部门网站 95 个,垂直管理单位网站 115 个; 16 个区和北京经济技术开发区有网站 831 个。

“群众把政府的网站建设程度与政府的管理水平、服务态度画上了等号,给政府形象打了低分,提升政府信息公开栏目建设规范化程度迫在眉睫。”

同样的情况,在各大培训网站上也十分常见。如果说政府层面更多的是出于“年久失修”导致,那这类培训网站则是为了节省成本将网络安全的重要性抛于脑后,对于黑产来说这样的网站极易被“攻陷”。

王明华向雷锋网(公众号:雷锋网)透漏,对于网络安全意识的淡化,导致网站在上线之初就没有一个像样的团队来做维护,甚至空置多年也无人问津。对于很多企事业单位来说,网站更像是一个摆设,没有任何实质性的用途。这样的空壳漏洞百出,自然也就成为了寄生恶意网站的温床。

什么是SEO暗链

黑产如何对上述网站实施攻击?上文提到,黑产利用编辑器漏洞进行未授权访问,并上传了相关恶意HTML页面。那么,SEO暗链是如何做到跳转色情网站的呢?

在回答这两个问题之前,我们首先要知道什么是暗链。

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

正如其名,暗链就是指看不见的网站链接。由于暗链的嵌入做的十分隐蔽,短时间内很难被察觉,更不会自动跳转。这种连接类似于友情链接,对于单独页面可以有效提高其PR值。暗链分为两种情况,一种是主动隐藏别人网站的链接,另一种则是盗取自己的模板进而在上面保存很多自己的绝对地址。当发起量足够多的时候,就会被搜索引擎判定为作弊(要么别人网站作弊,要么自己的网站作弊)。

一般情况下,黑客通过设置使链接在页面不可见,但实际又存在,可以通过源码查看。通常方式有如设置css,使div等不可见或者使div的边距为负数,总之只要在页面上看不到就行,其位置一般处在源码的底部或者顶部。

雷锋网了解到,尽管暗链本身不能实现跳转,但是SEO技术中的Cloaking(隐形页面或者桥接页面)能够对某一个网页预先制作两个版本,让搜索引擎和浏览者分别看到不同的网页内容(采用识别访问者身份的技术)。搜索引擎抓取这个网页时,获得的是纯粹为了优化某些关键词而组织的内容,而网页浏览者看到的是另一个截然不同的内容。

实现方法:

使用iis rewrite服务器伪静态工具,可以实现根据用户浏览器类别进行跳转 ,也就是当访问此页面的类型是Googlebot/2. 1 或Baiduspider那么执行命令跳转相应黑页:

RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)

RewriteRule ^/(.*)1 [F]

Cloaking是典型的SEO作弊,黑产可以通过这一行为快速谋取利益。对此,搜索引擎一旦识别就会对网站进行严厉惩罚。

当然,除了SEO暗链,也有其他方式实现类似的网站跳转效果。在这里,编辑为大家整理出两种简单介绍给大家:

1、referer作弊攻击

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

上面两张图中访问的是同一链接,却对应不同的页面

referer作弊是黑产针对搜索引擎、大型网站做的黑帽SEO,其他点在于只有通过搜索引擎访问会跳转,直接访问则不会跳转。在知乎上一个典型案例中,有网友反应网站通过搜索引擎访问后边跳转到了博彩页面也是因为受到了referer作弊攻击。

2、UA作弊

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

用编辑器漏洞植入SEO暗链, 700 个网站被植入恶意链接

对同一个地址,UA作弊攻击可以制作两个完全不同的页面。正常情况下,访问该网页显示的是原本的页面,但是当把UA改成搜索引擎爬虫的UA后,再次查看到的就是另一个页面了。

参考来源:知乎;瞭望东方周刊

网友热搜:

  • 相关推荐
  • 大家在看
  • 百度推出“高考放心搜计划”:清理2. 6万个恶意网站

    6 月 10 日,百度推出「高考放心搜计划」,为高三考生及家长提供信息和智能搜索服务:包括上千场高考直播、高考搜索大数据、闪电估分以及智能志愿助手等。考生和家长在百度App搜索「高考」、「高考直播」等关键词即可获取上述服务。

  • 线上考试好作弊,远程监考为何反让学生压力山大?

    春季学期悄然过半,美国各州的大学不得不将考试搬到线上。但在家考试,作弊岂不是很容易?为解决这个难题,许多学校引入了第三方在线监考服务。远程监考能够提高测验的效率和灵活性,但也带来了技术障碍、隐私让渡等多重问题。

  • 作弊封号,卖挂违法!警方破获《和平精英》特大外挂案件

    “鸡腿”外挂是一款作弊软件,在游戏中实现“自瞄”、“透视”等非法功能破坏游戏平衡。腾讯游戏安全中心针对“鸡腿挂”投入了大量开发和运营人力,在每一次“鸡腿挂”更新后,腾讯游戏安全中心都在紧密跟进。官方采取了实时检测技术 打击作弊行为,配合离线追封技术 对该外挂进行事后检测,并对违规账号进行限制。所谓的端口等防封“作弊手段”同样不能逃过检测,所有违反《游戏安全条例》的账号、所有以作弊手段伤害正常特种兵的

  • 这个比QQ空间还古老的网站,是多少女孩的精神家园?

    ​你多久没有上网冲浪了?你还记得第一次和因特网的亲密接触吗?仔细算算那些诞生于 1999 年的网站,已经整整二十岁了。

  • IBM云服务出现故障 导致全球多个客户网站瘫痪

    太平洋时间 6 月 9 日下午,IBM Cloud的用户报告了一次故障,导致全球许多网站没有响应,目前该问题已经解决。

  • 这个网站靠帮人们分析怎么在网上赚钱,月入近3万

    不少想要搞副业的人,曾经花费大量时间和精力尝试在线赚钱,但最后才发现自己白折腾了。eBiz Facts 是一个小团队,该平台花费大量时间研究和审查各种在线赚钱方法是否靠谱,然后给用户一些建议,让他们避免被骗,以及浪费时间、精力和金钱在一些容易“踩坑”在线业务,并做出更明智的决策。

  • 电子书免费,写评论还奖励60美元,这家网站靠什么赚钱?

    对于喜欢阅读的用户来说,OnlineBookClub绝对是一个好地方。这个已经有着十多年历史的在线图书俱乐部,不但为用户提供免费的电子书,而且用户如果为电子书写评论,每条最高还可获得 60 美元的报酬。它甚至都不需要用户具备高级评论家的水平,只需要通过Online Book Club注册一个账户,注册成功后,你只要选好你喜欢的图书类型,然后从可供选择的图书中选择一本书,按照说明下载,然后提交评论就可以了。

  • 牛商网营销型网站:传统企业接到百万总统府邸大单

    牛商网的营销型网站助力13000+企业成功转型互联网,为传统企业转型互联提供无限可能。合肥市某专注于冷暖设备工程的传统企业,通过牛商网的营销型网站,单月销售额达 100 万,公司网络销售业务达到千万大关,通过网络成交的业绩占公司总业绩的90%,并通过牛商网制作的营销型官网接到了 5000 个平方的国外总统府邸工程订单。一起来看下牛商网是如何助力这家企业实现弯道超车的吧:传统做得再好,也要布局新跑道!这家冷暖设备工程公

  • 谷歌删除了25个窃取Facebook证书恶意安卓应用

    本月,谷歌应用商店已经删除了 25 个窃取Facebook证书的Android应用程序,这些应用下载量总计超过了 234 万次。据悉,这些恶意程序是由同一个威胁组织开发的,尽管提供不同的功能,但它们的工作原理是一样的。

  • 如何将访客转化为潜在客户?这个8个网站优化策略了解下

    你是否已经将自己的网站优化到最佳状态了呢?通过优化来产生潜在客户是转化网站已经获得的流量的最好方法之一。然而,如果你认为在网站的主页上添加几个“点击这里”的CTA策略(注:Callto Action,行动呼吁),就能获取更多的潜在客户,很遗憾的说,这个想法大错特错。

  • 5个月创建将网站转换APP项目,月入3万!

    今天要跟大家分享的是一个将网站转换为ios、安卓APP的创业项目——Convertify。Lucas Maldonado是这个项目的创始人,他用了五个月的时间构建了这个产品,虽然产品刚发布就吸引不少关注,但中间经历了“无人问津”的低迷阶段。不过靠着独特的服务和前期扎实的SEO工作,Convertify在后期逐渐成长了起来。如今Convertify项目月均收入 5000 美元(约合3.5 万人民币)。

  • Google因拒绝为新闻付费 遭出版商攻击

    DoNews 6月19日消息(记者 刘文轩)据彭博社报道,出版商贸易组织News Media Alliance在一份提交给美国司法部的报告中称,Google使新闻机构在没有获得足够报酬的情况下出让其新闻内容。美国司法部目前正在调查Google可能的违反反垄断法的行为。新闻媒体联盟表示,Google严重依赖新闻内容来吸引流量和推动其广告业务,但由于它是一家拥有着强大权力的在线平台,新闻机构很难与这家公司就新闻内容许可证一事展开实际的谈判。知情人士

  • 腾讯为何要打击作弊党?《和平精英》特大外挂案被破 黑产规模上亿元

    作为国内最火的手游,《和平精英》在打击外挂上,力度一直都很大,这也是腾讯最在意的。据央视新闻报道称,近日江苏昆山警方破获一起《和平精英》手游特大外挂案。这款外挂“鸡腿”

  • 水滴筹联手警方破获恶意筹款案 已对爱心网友进行退款

    【TechWeb】近日,CCTV报道了一起企图伪造病历在水滴筹发起筹款的诈骗嫌疑人,因命中水滴筹风控系统,被水滴筹及时报案并由广东省中山市公安局神湾分局刑侦大队依法抓获的案件。据悉,该案件已是水滴筹去年以来联手公安共同打击的第9起涉嫌违法犯罪的筹款案件。央视报道称,涉嫌诈骗的郑某君,在2019年曾因刷单被骗4万余元,其心有不甘,想“赚”回被骗的钱 。今年1月,郑某君在其朋友的帮助下,伪造身患子宫癌的虚假病历,在水滴

  • B站CEO陈睿回应“B站变了吗”:B站已经不是一个小网站,有变化也有不变

    凤凰网科技讯 (作者/郑媛)6月26日消息,在BILIBILI十一周年发布会上,B站CEO陈睿表示,在跨年晚会之后,明显能感受到B站的影响力在扩大。对于“B站变了”这种说法,陈睿也在发布会上作出了回应,他认为,“B站有变化,但在越变越好,B站的属性和内容的竞争力是不变的。”陈睿在发布会上阐述了B站的变与不变。陈睿认为,第一点变化是B站的用户的变多,在第一季度B站的月活跃用户达到1.72亿,但是B站的用户属性没有变化,新增用户?

  • 他只用24小时建的小网站,如今年入1400万,怎么做到的?

    Gadget Flow是一个发现市场上最好产品的平台,类似于“什么值得买”这类型的产品导购网站。在本文的采访中,埃文将跟大家分享自己的创业过程以及运营Gadget Flow的经验,希望能给大家带来一些启发。

  • 全球“超算”攻击潮突起:一场威胁情报的硬核之战

    不久前,欧洲多国超级计算机上演“挖矿”风暴,规模之大史无前例。5 月 11 号,位于英国爱丁堡大学的超级计算机ARCHER(弓箭手)遭受网络攻击。这台 2014 年耗资 4300 万英镑(约合人民币 4 亿元)、在退役之前发挥余热、帮助研究者对抗新冠病毒、至今仍在全球超级计算机单中排名 252 名的性能怪兽,因为黑客的攻击,不得不选择下线“保平安”。同天另一起网络攻击也导致德国 5 台超级计算机关闭。在接下来的几天里,德国其他地方?

  • 水滴筹再度联手警方破获恶意筹款案 获央视点赞

    近日,CCTV报道了一起企图伪造病历在水滴筹发起筹款的诈骗嫌疑人,因命中水滴筹风控系统,被水滴筹及时报案并由广东省中山市公安局神湾分局刑侦大队依法抓获的案件。该案件已是水滴筹去年以来联手公安共同打击的第 9 起涉嫌违法犯罪的筹款案件。 央视报道称,涉嫌诈骗的郑某君,在 2019 年曾因刷单被骗 4 万余元,其心有不甘,想“赚”回被骗的钱 。今年 1 月,郑某君在其朋友的帮助下,伪造身患子宫癌的虚假病历,在水滴筹平台发

  • 用爱发电!这个漫画家自学成才开发了个网站,六年才实现盈利

    Character Creator是一个帮助人们轻松创建出漫画角色的web应用程序,只要按照自己的喜好选择人物特征元素(包括性别、发型、眼镜、嘴唇等等),就能创建出一个漫画形象

  • B站抗癌UP主出院回家 希望网友别再攻击谩骂

    6 月 5 日,B站抗癌UP主“虎子的后半生”自称接受完第五期化疗已回到家中,说,在住院期间有网友来看他并想捐款,被他拒绝了,他也希望大家能让他平静走完生命的最后一程,别再攻击和谩骂了。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天