先說(shuō)一個(gè)悲傷的故事。

有一天，小明跟爸爸說(shuō)，爸，我想報(bào)個(gè)培訓(xùn)班，拔高一下自己的數(shù)學(xué)成績(jī)。然后，小明拽著爸爸來(lái)到電腦前，在X度里輸入了老師推薦給他的培訓(xùn)班的官網(wǎng)地址~回車。屏幕一晃，一個(gè)不可描述的網(wǎng)站出現(xiàn)在二人面前。

父子倆大瞪眼睛愣了半天，爸爸才開口，小明，這，就是你說(shuō)的那個(gè)想報(bào)的培訓(xùn)班？沒(méi)等小明搖頭，爸爸“暖暖”的大巴掌就乎了上來(lái)。小明哭著坐在沙發(fā)上，一臉委屈：為什么會(huì)這樣呢？

你以為是小明誤輸入了成人網(wǎng)站的網(wǎng)址，不，那的確是一個(gè)正經(jīng)的培訓(xùn)網(wǎng)站地址。實(shí)際上，這個(gè)培訓(xùn)網(wǎng)站被黑客植入惡意鏈接，只要一打開就自動(dòng)跳轉(zhuǎn)色情網(wǎng)站。

然而，這不是故事，這是事實(shí)。

昨天，綠盟科技應(yīng)急響應(yīng)團(tuán)隊(duì)發(fā)文稱檢測(cè)到多家政府、教育、企事業(yè)單位網(wǎng)站被黑客植入惡意鏈接，訪問(wèn)鏈接后會(huì)跳轉(zhuǎn)到指定色情網(wǎng)站。雷鋒網(wǎng)得知，包括政府、企業(yè)、教育、醫(yī)療、金融在內(nèi)的700多個(gè)網(wǎng)站被植入惡意鏈接，截止目前還有440余個(gè)網(wǎng)站仍未處置。

受影響行業(yè)占比分布

“先不說(shuō)其他，單一個(gè)教育網(wǎng)站跳轉(zhuǎn)色情網(wǎng)站就是個(gè)大麻煩。要知道，每天會(huì)訪問(wèn)此類網(wǎng)站的人以學(xué)生、家長(zhǎng)、老師居多，如果隨便打開個(gè)培訓(xùn)網(wǎng)站就跳出一堆不可描述內(nèi)容，那還了得？”

為什么一個(gè)正經(jīng)的網(wǎng)站會(huì)變得如此“瘋狂”？下面編輯就來(lái)探討一下這個(gè)話題。

政府網(wǎng)頁(yè)猶如“窗戶紙”

原本一個(gè)天然無(wú)公害的網(wǎng)站是如何被黑產(chǎn)選作攻擊目標(biāo)的呢？

“相比其他網(wǎng)站，上述提到的這些網(wǎng)站安全性更低?！眹?guó)家互聯(lián)網(wǎng)應(yīng)急中心運(yùn)行部主任王明華稱，比較而言，篡改網(wǎng)頁(yè)是比較淺層的攻擊手段。滯后的網(wǎng)站建設(shè)致使它成為攻擊政府網(wǎng)站的主要手段之一。

2018年9月，安全客發(fā)布了《2018年度上半年暗鏈監(jiān)測(cè)分析報(bào)告》對(duì)全國(guó)范圍內(nèi)的暗鏈情況進(jìn)行統(tǒng)計(jì)。報(bào)告顯示，僅上半年，全國(guó)就有近13萬(wàn)起暗鏈?zhǔn)录?，涉?.6萬(wàn)余個(gè)網(wǎng)站，其中95.93%是企業(yè)站點(diǎn)。據(jù)統(tǒng)計(jì)，被植入暗鏈的政府機(jī)關(guān)網(wǎng)站有215個(gè)，事企單位有827個(gè)。

中國(guó)軟件評(píng)測(cè)中心主任助理王友奎稱，政府信息公開欄目建設(shè)始終停留在“過(guò)去式”，甚至有的還對(duì)黑灰產(chǎn)攻擊大開“天窗”。這些網(wǎng)站一方面攜帶大量的“睡眠網(wǎng)站”、“僵尸網(wǎng)站”，另一方面也嚴(yán)重拉低政府在大眾面前的公信力。

雷鋒網(wǎng)得知，為了優(yōu)化網(wǎng)站質(zhì)量，僅以北京市政府為例，決定在各項(xiàng)服務(wù)“提質(zhì)不減量”的前提下，于2018年底把全市1042家各類政府網(wǎng)站精簡(jiǎn)90%以上，只保留80多家。據(jù)介紹，北京市目前共有政府網(wǎng)站1042個(gè)，其中市政府門戶網(wǎng)站1個(gè)；市級(jí)部門網(wǎng)站95個(gè)，垂直管理單位網(wǎng)站115個(gè)；16個(gè)區(qū)和北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)有網(wǎng)站831個(gè)。

“群眾把政府的網(wǎng)站建設(shè)程度與政府的管理水平、服務(wù)態(tài)度畫上了等號(hào)，給政府形象打了低分，提升政府信息公開欄目建設(shè)規(guī)范化程度迫在眉睫。”

同樣的情況，在各大培訓(xùn)網(wǎng)站上也十分常見。如果說(shuō)政府層面更多的是出于“年久失修”導(dǎo)致，那這類培訓(xùn)網(wǎng)站則是為了節(jié)省成本將網(wǎng)絡(luò)安全的重要性拋于腦后，對(duì)于黑產(chǎn)來(lái)說(shuō)這樣的網(wǎng)站極易被“攻陷”。

王明華向雷鋒網(wǎng)透漏，對(duì)于網(wǎng)絡(luò)安全意識(shí)的淡化，導(dǎo)致網(wǎng)站在上線之初就沒(méi)有一個(gè)像樣的團(tuán)隊(duì)來(lái)做維護(hù)，甚至空置多年也無(wú)人問(wèn)津。對(duì)于很多企事業(yè)單位來(lái)說(shuō)，網(wǎng)站更像是一個(gè)擺設(shè)，沒(méi)有任何實(shí)質(zhì)性的用途。這樣的空殼漏洞百出，自然也就成為了寄生惡意網(wǎng)站的溫床。

什么是SEO暗鏈？

黑產(chǎn)如何對(duì)上述網(wǎng)站實(shí)施攻擊？上文提到，黑產(chǎn)利用編輯器漏洞進(jìn)行未授權(quán)訪問(wèn)，并上傳了相關(guān)惡意HTML頁(yè)面。那么，SEO暗鏈?zhǔn)侨绾巫龅教D(zhuǎn)色情網(wǎng)站的呢？

在回答這兩個(gè)問(wèn)題之前，我們首先要知道什么是暗鏈。

正如其名，暗鏈就是指看不見的網(wǎng)站鏈接。由于暗鏈的嵌入做的十分隱蔽，短時(shí)間內(nèi)很難被察覺，更不會(huì)自動(dòng)跳轉(zhuǎn)。這種連接類似于友情鏈接，對(duì)于單獨(dú)頁(yè)面可以有效提高其PR值。暗鏈分為兩種情況，一種是主動(dòng)隱藏別人網(wǎng)站的鏈接，另一種則是盜取自己的模板進(jìn)而在上面保存很多自己的絕對(duì)地址。當(dāng)發(fā)起量足夠多的時(shí)候，就會(huì)被搜索引擎判定為作弊（要么別人網(wǎng)站作弊，要么自己的網(wǎng)站作弊）。

一般情況下，黑客通過(guò)設(shè)置使鏈接在頁(yè)面不可見，但實(shí)際又存在，可以通過(guò)源碼查看。通常方式有如設(shè)置css，使div等不可見或者使div的邊距為負(fù)數(shù)，總之只要在頁(yè)面上看不到就行，其位置一般處在源碼的底部或者頂部。

雷鋒網(wǎng)了解到，盡管暗鏈本身不能實(shí)現(xiàn)跳轉(zhuǎn)，但是SEO技術(shù)中的Cloaking（隱形頁(yè)面或者橋接頁(yè)面）能夠?qū)δ骋粋€(gè)網(wǎng)頁(yè)預(yù)先制作兩個(gè)版本，讓搜索引擎和瀏覽者分別看到不同的網(wǎng)頁(yè)內(nèi)容（采用識(shí)別訪問(wèn)者身份的技術(shù)）。搜索引擎抓取這個(gè)網(wǎng)頁(yè)時(shí)，獲得的是純粹為了優(yōu)化某些關(guān)鍵詞而組織的內(nèi)容，而網(wǎng)頁(yè)瀏覽者看到的是另一個(gè)截然不同的內(nèi)容。

實(shí)現(xiàn)方法：

使用iis rewrite服務(wù)器偽靜態(tài)工具，可以實(shí)現(xiàn)根據(jù)用戶瀏覽器類別進(jìn)行跳轉(zhuǎn) ，也就是當(dāng)訪問(wèn)此頁(yè)面的類型是Googlebot/2.1或Baiduspider那么執(zhí)行命令跳轉(zhuǎn)相應(yīng)黑頁(yè)：

RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)

RewriteRule ^/(.*)1 [F]

Cloaking是典型的SEO作弊，黑產(chǎn)可以通過(guò)這一行為快速謀取利益。對(duì)此，搜索引擎一旦識(shí)別就會(huì)對(duì)網(wǎng)站進(jìn)行嚴(yán)厲懲罰。

當(dāng)然，除了SEO暗鏈，也有其他方式實(shí)現(xiàn)類似的網(wǎng)站跳轉(zhuǎn)效果。在這里，編輯為大家整理出兩種簡(jiǎn)單介紹給大家：

1、referer作弊攻擊

上面兩張圖中訪問(wèn)的是同一鏈接，卻對(duì)應(yīng)不同的頁(yè)面

referer作弊是黑產(chǎn)針對(duì)搜索引擎、大型網(wǎng)站做的黑帽SEO，其他點(diǎn)在于只有通過(guò)搜索引擎訪問(wèn)會(huì)跳轉(zhuǎn)，直接訪問(wèn)則不會(huì)跳轉(zhuǎn)。在知乎上一個(gè)典型案例中，有網(wǎng)友反應(yīng)網(wǎng)站通過(guò)搜索引擎訪問(wèn)后邊跳轉(zhuǎn)到了博彩頁(yè)面也是因?yàn)槭艿搅藃eferer作弊攻擊。

2、UA作弊

針

對(duì)同一個(gè)地址，UA作弊攻擊可以制作兩個(gè)完全不同的頁(yè)面。正常情況下，訪問(wèn)該網(wǎng)頁(yè)顯示的是原本的頁(yè)面，但是當(dāng)把UA改成搜索引擎爬蟲的UA后，再次查看到的就是另一個(gè)頁(yè)面了。

參考來(lái)源：綠盟科技；知乎；瞭望東方周刊

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。