轉自公衆號:letshome
先說一個悲傷的故事。
有一天,小明跟爸爸說,爸,我想報個培訓班,拔高一下自己的數學成績。然後,小明拽着爸爸來到電腦前,在X度裏輸入了老師推薦給他的培訓班的官網地址~回車。屏幕一晃,一個不可描述的網站出現在二人面前。
父子倆瞪大眼睛愣了半天,爸爸纔開口,小明,這,就是你說的那個想報的培訓班?沒等小明搖頭,爸爸“暖暖”的大巴掌就乎了上來。小明哭着坐在沙發上,一臉委屈:爲什麼會這樣呢?
你以爲是小明誤輸入了成人網站的網址?不,那的確是一個正經的培訓網站地址。實際上,這個培訓網站被黑客植入惡意鏈接,只要一打開就自動跳轉色情網站。
然而,這不是故事,這是事實。
2月25日,綠盟科技應急響應團隊發文稱檢測到多家政府、教育、企事業單位網站被黑客植入惡意鏈接,訪問鏈接後會跳轉到指定色情網站。宅客頻道得知,包括政府、企業、教育、醫療、金融在內的700多個網站被植入惡意鏈接,截止目前還有440餘個網站仍未處置。
▲受影響行業佔比分佈
“先不說其他,單一個教育網站跳轉色情網站就是個大麻煩。要知道,每天會訪問此類網站的人以學生、家長、老師居多,如果隨便打開個培訓網站就跳出一堆不可描述內容,那還了得?”
爲什麼一個正經的網站會變得如此“瘋狂”?下面編輯就來探討一下這個話題。
政府網頁猶如“窗戶紙”
原本一個天然無公害的網站是如何被黑產選作攻擊目標的呢?
“相比其他網站,上述提到的這些網站安全性更低。”國家互聯網應急中心運行部主任王明華稱,比較而言,篡改網頁是比較淺層的攻擊手段。滯後的網站建設致使它成爲攻擊政府網站的主要手段之一。
2018年9月,安全客發佈了《2018年度上半年暗鏈監測分析報告》對全國範圍內的暗鏈情況進行統計。報告顯示,僅上半年,全國就有近13萬起暗鏈事件,涉及5.6萬餘個網站,其中95.93%是企業站點。據統計,被植入暗鏈的政府機關網站有215個,事企單位有827個。
中國軟件評測中心主任助理王友奎稱,政府信息公開欄目建設始終停留在“過去式”,甚至有的還對黑灰產攻擊大開“天窗”。這些網站一方面攜帶大量的“睡眠網站”、“殭屍網站”,另一方面也嚴重拉低政府在大衆面前的公信力。
宅客頻道得知,爲了優化網站質量,僅以北京市政府爲例,決定在各項服務“提質不減量”的前提下,於2018年底把全市1042家各類政府網站精簡90%以上,只保留80多家。據介紹,北京市目前共有政府網站1042個,其中市政府門戶網站1個;市級部門網站95個,垂直管理單位網站115個;16個區和北京經濟技術開發區有網站831個。
“羣衆把政府的網站建設程度與政府的管理水平、服務態度畫上了等號,給政府形象打了低分,提升政府信息公開欄目建設規範化程度迫在眉睫。”
同樣的情況,在各大培訓網站上也十分常見。如果說政府層面的問題更多是因爲“年久失修”導致,那這類培訓網站則是爲了節省成本將網絡安全的重要性拋於腦後,對於黑產來說這樣的網站極易被“攻陷”。
王明華向宅客頻道透露,對於網絡安全意識的淡化,導致網站在上線之初就沒有一個像樣的團隊來做維護,甚至空置多年也無人問津。對於很多企事業單位來說,網站更像是一個擺設,沒有任何實質性的用途。這樣的空殼漏洞百出,自然也就成爲了寄生惡意網站的溫牀。
什麼是SEO暗鏈?
黑產如何對上述網站實施攻擊?上文提到,黑產利用編輯器漏洞進行未授權訪問,並上傳了相關惡意HTML頁面。那麼,SEO暗鏈是如何做到跳轉色情網站的呢?
在回答這兩個問題之前,我們首先要知道什麼是暗鏈。
正如其名,暗鏈就是指看不見的網站鏈接。由於暗鏈的嵌入做的十分隱蔽,短時間內很難被察覺,更不會自動跳轉。這種連接類似於友情鏈接,對於單獨頁面可以有效提高其PR值。暗鏈分爲兩種情況,一種是主動隱藏別人網站的鏈接,另一種則是盜取自己的模板進而在上面保存很多自己的絕對地址。當發起量足夠多的時候,就會被搜索引擎判定爲作弊(要麼別人網站作弊,要麼自己的網站作弊)。
一般情況下,黑客通過設置使鏈接在頁面不可見,但實際又存在,可以通過源碼查看。通常方式有如設置css,使div等不可見或者使div的邊距爲負數,總之只要在頁面上看不到就行,其位置一般處在源碼的底部或者頂部。
宅客頻道瞭解到,儘管暗鏈本身不能實現跳轉,但是SEO技術中的Cloaking(隱形頁面或者橋接頁面)能夠對某一個網頁預先製作兩個版本,讓搜索引擎和瀏覽者分別看到不同的網頁內容(採用識別訪問者身份的技術)。搜索引擎抓取這個網頁時,獲得的是純粹爲了優化某些關鍵詞而組織的內容,而網頁瀏覽者看到的是另一個截然不同的內容。
實現方法:
使用iis rewrite服務器僞靜態工具,可以實現根據用戶瀏覽器類別進行跳轉 ,也就是當訪問此頁面的類型是Googlebot/2.1或Baiduspider那麼執行命令跳轉相應黑頁:
RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)
RewriteRule ^/(.*)1 [F]
Cloaking是典型的SEO作弊,黑產可以通過這一行爲快速謀取利益。對此,搜索引擎一旦識別就會對網站進行嚴厲懲罰。
當然,除了SEO暗鏈,也有其他方式實現類似的網站跳轉效果。在這裏,編輯整理出兩種簡單介紹給大家:
1、referer作弊攻擊
referer作弊是黑產針對搜索引擎、大型網站做的黑帽SEO,其特點在於只有通過搜索引擎訪問會跳轉,直接訪問則不會跳轉。在知乎上一個典型案例中,有網友反應網站通過搜索引擎訪問後邊跳轉到了博彩頁面也是因爲受到了referer作弊攻擊。
2、UA作弊
▲上面兩張圖中訪問的是同一地址,卻對應不同頁面
對同一個地址,UA作弊攻擊可以製作兩個完全不同的頁面。正常情況下,訪問該網頁顯示的是原本的頁面,但是當把UA改成搜索引擎爬蟲的UA後,再次查看到的就是另一個頁面了。