先說一個悲傷的故事。

有一天，小明跟爸爸說，爸，我想報個培訓(xùn)班，拔高一下自己的數(shù)學(xué)成績。然后，小明拽著爸爸來到電腦前，在X度里輸入了老師推薦給他的培訓(xùn)班的官網(wǎng)地址~回車。屏幕一晃，一個不可描述的網(wǎng)站出現(xiàn)在二人面前。

父子倆大瞪眼睛愣了半天，爸爸才開口，小明，這，就是你說的那個想報的培訓(xùn)班？沒等小明搖頭，爸爸“暖暖”的大巴掌就乎了上來。小明哭著坐在沙發(fā)上，一臉委屈：為什么會這樣呢？

你以為是小明誤輸入了成人網(wǎng)站的網(wǎng)址，不，那的確是一個正經(jīng)的培訓(xùn)網(wǎng)站地址。實際上，這個培訓(xùn)網(wǎng)站被黑客植入惡意鏈接，只要一打開就自動跳轉(zhuǎn)色情網(wǎng)站。

然而，這不是故事，這是事實。

昨天，綠盟科技應(yīng)急響應(yīng)團(tuán)隊發(fā)文稱檢測到多家政府、教育、企事業(yè)單位網(wǎng)站被黑客植入惡意鏈接，訪問鏈接后會跳轉(zhuǎn)到指定色情網(wǎng)站。雷鋒網(wǎng)得知，包括政府、企業(yè)、教育、醫(yī)療、金融在內(nèi)的700多個網(wǎng)站被植入惡意鏈接，截止目前還有440余個網(wǎng)站仍未處置。

受影響行業(yè)占比分布

“先不說其他，單一個教育網(wǎng)站跳轉(zhuǎn)色情網(wǎng)站就是個大麻煩。要知道，每天會訪問此類網(wǎng)站的人以學(xué)生、家長、老師居多，如果隨便打開個培訓(xùn)網(wǎng)站就跳出一堆不可描述內(nèi)容，那還了得？”

為什么一個正經(jīng)的網(wǎng)站會變得如此“瘋狂”？下面編輯就來探討一下這個話題。

政府網(wǎng)頁猶如“窗戶紙”

原本一個天然無公害的網(wǎng)站是如何被黑產(chǎn)選作攻擊目標(biāo)的呢？

“相比其他網(wǎng)站，上述提到的這些網(wǎng)站安全性更低?！眹一ヂ?lián)網(wǎng)應(yīng)急中心運(yùn)行部主任王明華稱，比較而言，篡改網(wǎng)頁是比較淺層的攻擊手段。滯后的網(wǎng)站建設(shè)致使它成為攻擊政府網(wǎng)站的主要手段之一。

2018年9月，安全客發(fā)布了《2018年度上半年暗鏈監(jiān)測分析報告》對全國范圍內(nèi)的暗鏈情況進(jìn)行統(tǒng)計。報告顯示，僅上半年，全國就有近13萬起暗鏈?zhǔn)录?，涉?.6萬余個網(wǎng)站，其中95.93%是企業(yè)站點(diǎn)。據(jù)統(tǒng)計，被植入暗鏈的政府機(jī)關(guān)網(wǎng)站有215個，事企單位有827個。

中國軟件評測中心主任助理王友奎稱，政府信息公開欄目建設(shè)始終停留在“過去式”，甚至有的還對黑灰產(chǎn)攻擊大開“天窗”。這些網(wǎng)站一方面攜帶大量的“睡眠網(wǎng)站”、“僵尸網(wǎng)站”，另一方面也嚴(yán)重拉低政府在大眾面前的公信力。

雷鋒網(wǎng)得知，為了優(yōu)化網(wǎng)站質(zhì)量，僅以北京市政府為例，決定在各項服務(wù)“提質(zhì)不減量”的前提下，于2018年底把全市1042家各類政府網(wǎng)站精簡90%以上，只保留80多家。據(jù)介紹，北京市目前共有政府網(wǎng)站1042個，其中市政府門戶網(wǎng)站1個；市級部門網(wǎng)站95個，垂直管理單位網(wǎng)站115個；16個區(qū)和北京經(jīng)濟(jì)技術(shù)開發(fā)區(qū)有網(wǎng)站831個。

“群眾把政府的網(wǎng)站建設(shè)程度與政府的管理水平、服務(wù)態(tài)度畫上了等號，給政府形象打了低分，提升政府信息公開欄目建設(shè)規(guī)范化程度迫在眉睫?！?/p>

同樣的情況，在各大培訓(xùn)網(wǎng)站上也十分常見。如果說政府層面更多的是出于“年久失修”導(dǎo)致，那這類培訓(xùn)網(wǎng)站則是為了節(jié)省成本將網(wǎng)絡(luò)安全的重要性拋于腦后，對于黑產(chǎn)來說這樣的網(wǎng)站極易被“攻陷”。

王明華向雷鋒網(wǎng)透漏，對于網(wǎng)絡(luò)安全意識的淡化，導(dǎo)致網(wǎng)站在上線之初就沒有一個像樣的團(tuán)隊來做維護(hù)，甚至空置多年也無人問津。對于很多企事業(yè)單位來說，網(wǎng)站更像是一個擺設(shè)，沒有任何實質(zhì)性的用途。這樣的空殼漏洞百出，自然也就成為了寄生惡意網(wǎng)站的溫床。

什么是SEO暗鏈？

黑產(chǎn)如何對上述網(wǎng)站實施攻擊？上文提到，黑產(chǎn)利用編輯器漏洞進(jìn)行未授權(quán)訪問，并上傳了相關(guān)惡意HTML頁面。那么，SEO暗鏈?zhǔn)侨绾巫龅教D(zhuǎn)色情網(wǎng)站的呢？

在回答這兩個問題之前，我們首先要知道什么是暗鏈。

正如其名，暗鏈就是指看不見的網(wǎng)站鏈接。由于暗鏈的嵌入做的十分隱蔽，短時間內(nèi)很難被察覺，更不會自動跳轉(zhuǎn)。這種連接類似于友情鏈接，對于單獨(dú)頁面可以有效提高其PR值。暗鏈分為兩種情況，一種是主動隱藏別人網(wǎng)站的鏈接，另一種則是盜取自己的模板進(jìn)而在上面保存很多自己的絕對地址。當(dāng)發(fā)起量足夠多的時候，就會被搜索引擎判定為作弊（要么別人網(wǎng)站作弊，要么自己的網(wǎng)站作弊）。

一般情況下，黑客通過設(shè)置使鏈接在頁面不可見，但實際又存在，可以通過源碼查看。通常方式有如設(shè)置css，使div等不可見或者使div的邊距為負(fù)數(shù)，總之只要在頁面上看不到就行，其位置一般處在源碼的底部或者頂部。

雷鋒網(wǎng)了解到，盡管暗鏈本身不能實現(xiàn)跳轉(zhuǎn)，但是SEO技術(shù)中的Cloaking（隱形頁面或者橋接頁面）能夠?qū)δ骋粋€網(wǎng)頁預(yù)先制作兩個版本，讓搜索引擎和瀏覽者分別看到不同的網(wǎng)頁內(nèi)容（采用識別訪問者身份的技術(shù)）。搜索引擎抓取這個網(wǎng)頁時，獲得的是純粹為了優(yōu)化某些關(guān)鍵詞而組織的內(nèi)容，而網(wǎng)頁瀏覽者看到的是另一個截然不同的內(nèi)容。

實現(xiàn)方法：

使用iis rewrite服務(wù)器偽靜態(tài)工具，可以實現(xiàn)根據(jù)用戶瀏覽器類別進(jìn)行跳轉(zhuǎn) ，也就是當(dāng)訪問此頁面的類型是Googlebot/2.1或Baiduspider那么執(zhí)行命令跳轉(zhuǎn)相應(yīng)黑頁：

RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)

RewriteRule ^/(.*)1 [F]

Cloaking是典型的SEO作弊，黑產(chǎn)可以通過這一行為快速謀取利益。對此，搜索引擎一旦識別就會對網(wǎng)站進(jìn)行嚴(yán)厲懲罰。

當(dāng)然，除了SEO暗鏈，也有其他方式實現(xiàn)類似的網(wǎng)站跳轉(zhuǎn)效果。在這里，編輯為大家整理出兩種簡單介紹給大家：

1、referer作弊攻擊

上面兩張圖中訪問的是同一鏈接，卻對應(yīng)不同的頁面

referer作弊是黑產(chǎn)針對搜索引擎、大型網(wǎng)站做的黑帽SEO，其他點(diǎn)在于只有通過搜索引擎訪問會跳轉(zhuǎn)，直接訪問則不會跳轉(zhuǎn)。在知乎上一個典型案例中，有網(wǎng)友反應(yīng)網(wǎng)站通過搜索引擎訪問后邊跳轉(zhuǎn)到了博彩頁面也是因為受到了referer作弊攻擊。

2、UA作弊

針

對同一個地址，UA作弊攻擊可以制作兩個完全不同的頁面。正常情況下，訪問該網(wǎng)頁顯示的是原本的頁面，但是當(dāng)把UA改成搜索引擎爬蟲的UA后，再次查看到的就是另一個頁面了。

參考來源：綠盟科技；知乎；瞭望東方周刊

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。