搜索引擎劫持案列分析

  随着近期支付宝安全漏洞的曝光,网络安全问题也变得日趋严重,作为信息安全从业者,深感肩上负担之沉重,路漫漫其修远兮。然而可以预见的是,不久的将来黑帽与白帽之间必将展开一场较量,各大行业各大领域都将牵涉其中,谓之生死之战也不为过。为了给日后决战做准备,此时此刻我们必须全面了解这些未知而神秘的对手。
  黑客的非法入侵行为一般有几大目的,其中最主要的便是经济利益。近几年,国内安全形势不容乐观,地下黑色产业盛行,倒卖公民数据的事件略见不鲜。而要解决这一切的根源问题,就是要深入黑产内部了解整条黑色产业链。
  黑产的形式多种多样,有些是直接了当型的,比如入侵网站服务器获取数据并倒卖;也有些形式比较隐蔽,比如搜索引擎劫持获取流量,看似悄无声息实则背后暗藏着一条冗长的黑色之链。
  当我与朋友说起“黑客”一词时,它们脑海里的感觉往往是神秘而遥远……然而它们离我们却很近。负责客户网站安全是我的日常工作之一,平常除了分析网站的安全漏洞之外,我还会通过一些其他常见工具去分析网站的整体安全性,比如:搜索引擎。我相信,绝大部分人每天都会接触搜索引擎,但可能一些细节我们从没关注过,而无形中,我们可能成为了黑色产业链的一部分。
  搜索引擎是每个网站通往客户最直接的方式,我相信大部分人访问网站借助于搜索引擎。对于我来说,搜索引擎还有另外一项功能,查看网站的状态(排名,收录情况,安全性等)。
  通常来说,每天我都会打开搜索引擎查询网站的安全情况,今天也不例外,然而当我在查询关于某个客户网站的信息时,却出现了一些奇怪的敏感内容:

  某政府网站上出现了博彩相关内容(排除新闻页面),这显然是不合规的。排除管理员失误添加导致,恐怕此网站多半是被黑客入侵了。抱着谨慎的态度,我决定深入研究一番。
  首先我访问了该记录上的链接,紧接着浏览器中出现了一个正常的政府页面,而也就须臾之间,网页瞬间又跳转到了博彩网页。
图一为正常政府页面:

图二为博彩页面:

  可以看到博彩页面的域名为www.0980828.com,显然不是先前的政府网站域名xxxx.gov.cn。看到此现象,再结合多年安全经验,我大致能够猜测此网站应该是被搜索引擎劫持了。所谓搜索引擎劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。搜索引擎劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、博彩等暴利行业。
  通过分析以上过程的数据包,我们不难发现,在该网站前端页面被嵌入了一段非法代码。

此代码存放在43.250.75.61服务器上,查看该服务器信息,发现其在日本。

而通过访问此段代码,返回内容则是跳转到www.0980828.com网站上。

  分析至此,我们不难发现,导致页面跳转的原因便是xxxx.gov.cn网页被非法嵌入了一窜代码,而此代码能够控制访问该网页时跳转到博彩页面。这是搜索引擎劫持最为基础且常见的一种方式,其变种甚多,类型方式也各异,根据一段时间的调查学习我也总结了一些相关内容,详情可以参考搜索引擎劫持手法分析
  当政府网站被挂博彩等敏感内容,其危害不言而喻。意识后问题严重性后,我立马联系了网站管理员,告知其详细情况,并帮助其整改。我们必须明白,搜索引擎劫持不是漏洞,只是一种黑产的表现形式。因此想要解决搜索引擎劫持问题,首先要解决网站本身的安全问题。
  细细回想一番,曾几何时当我们通过搜索引擎打开一个正常网页时,是否存在跳转到其他非法页面的情况。很有可能,那便是一个被搜索引擎劫持的网站,而当我们点击链接的那一刻,便成为了黑色产业链的一部分,因为我们为其带去了流量。

  小结:在这个信息飞速发展的时代,用户流量便是看不见的黄金财富

本文标题:搜索引擎劫持案列分析

文章作者:nMask

发布时间:2017年01月17日 - 15:01

最后更新:2017年09月27日 - 14:09

原始链接:http://thief.one/2017/01/17/2/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

nMask wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!