如果你不知道如何进攻,又怎么知道如何防守呢?
黑帽 SEO 概念
SEO是搜索引擎优化的缩写,是指通过站内优化、站外优化等方式来提高搜索引擎排名。既然有SEO技术,就有相应的从业者,这些人被称为白帽SEO,指的是通过正当的SEO技术来帮助提高网站排名的专业人士。
当然有白也有黑,由于白帽SEO优化的过程会非常漫长,一个新网站往往需要花上好几年的时间进行优化推广才能获得不错的排名。因此一些想快速提升自己网站排名的朋友开始研究SEO中的作弊技术,从而诞生了黑帽SEO。黑帽SEO是指利用作弊手段快速提升网站排名的一类SEO技术,或者说黑客技术,例如:黑链接(暗链接)、站点群组、网站劫持(搜索引擎劫持)、桥页等。黑帽SEO虽然可以快速提升排名,但毕竟是违法的作弊行为,容易被K。
SEO的一些暗黑手段
黑帽SEO手法有很多,而且在不断更新,最常见的有利用泛分析建站群、入侵高权重网站挂暗链、入侵高权重网站劫持网页、篡改高权重网站网页内容、利用高权重网站二级目录做宣传页面、修改nginx配置做目录反向代理等等。接下来我会结合实际案例介绍一些常用的方法。
利用泛解析建立泛二级域名站群
利用DNS泛解析可以快速搭建站点集群,因为一个一级域名可以派生出无数个二级域名。当然通常需要借助站点集群工具,因为搭建站点集群需要很多不同内容的页面,手工搭建显然是不行的。SEO人员费尽心机搭建站点集群的目的就是为了快速吸引大量搜索引擎爬虫,提高网站被搜索引擎收录的数量。以下是一个泛二级域名的站点集群案例截图:
需要注意的是,以上截图中的二级域名均没有通过DNS解析记录进行绑定,解析设置为*,即通配符解析,服务器有程序或者代码控制构造不同的二级域名访问时会返回不同的网页内容,让搜索引擎误认为每个二级域名都是一个独立的网站。
泛解析有很多优点,比如方便用户(即使输入错误的子域名也能跳转到目标网站)、更快速被搜索引擎收录等。基于这些优点,很多站长会选择使用这种方式来提高自己网站的收录率。但是,如果泛解析使用不当,可能会带来难以想象的危害。
利用泛分析做非法生意
利用泛分析做黑帽SEO的方法有很多,根据是否需要入侵网站和DNS服务器,我来分为侵入式和非侵入式的方法介绍。
入侵法
真实案例:几个月前,我们在某重要政府网站上发现大量页面,取证截图如下:
经过分析,我发现这个手段是采用了泛解析。从截图中我们可以看到这个政府网站有大量的二级甚至三级域名,这些域名都是随机构造的,访问之后会跳转到色情等非法页面,而访问一级域名则是正常内容。不用分析跳转过程中用到了什么技术,从泛解析记录中不难看出这个网站的DNS解析记录被篡改过。我们有理由相信黑客已经获取了这个域名的DNS解析控制权限,并将这个域名泛解析到黑客准备的服务器上。那么黑客这么做的目的就很明显了,是为了让搜索引擎能够快速收录这个二级或者三级域名,从而达到将流量引流到非法页面的目的。
通过分析被黑政府网站的特征,我们可以推断出黑客通过入侵的方式获取了政府网站的DNS解析权限(具体如何获取目前尚不清楚),然后添加了一条泛解析记录,将此记录指向黑客准备的服务器。这台服务器有动态语言来实现通过不同的二级域名访问,返回不同页面结果的功能。由于政府网站本身权重较高,二级域名页面很快被百度收录,达到了将流量引流到非法页面的目的。这种方法的好处是不用入侵网站,只需要获取域名解析权限即可(当然获取域名解析权限并不容易)。
非侵入性方法
真实案例:前几天我们发现一个网站()利用泛解析做恶意推广,在查看了网站特征后,我们尝试构造不同的二级域名访问,取证截图如下。构造二级域名访问:
可以看出返回结果已经对网页内容和URL做了处理,当我们尝试构造不同的二级域名进行访问时,发现返回的结果内容不一样,但是通过获取IP发现是来自同一个服务器。首先不难想到这个域名肯定是做了泛解析的,那么它是如何控制网页内容变化的呢?查看网页源代码可知,网页源代码是嵌入在目标网页中的。
其实这个技术实现起来并不难,在服务器上用代码实现就可以,先获取请求的二级域名地址,然后访问二级域名内容获取源代码嵌入到自己的网页中。如果构造的二级域名内容不是完整的域名地址(如:),则返回一个随机的源代码。这种方法的好处是不需要入侵网站,只需要自己搭建服务器就可以了,但是推广效果没那么好。
使用网站暗链接
在网页中插入暗链接的方法比较过时,现在很少用了,因为搜索引擎已经可以检测出这种作弊手段了。为了介绍知识的完整性,我在这里简单介绍一下。暗链接也叫黑链接,也就是隐藏链接,是黑帽SEO的作弊手段之一。挂暗链接的目的很简单,增加网站外链,提高网站排名;实现方式主要分为几种:用CSS实现,用JS实现,用DIV+JS实现等。详细介绍请参考:黑帽SEO暗链接
使用高权重网站构建关键字URL进行推广
真实案例:一年前,我在研究黑帽SEO的时候,发现了一个很有意思的黑帽SEO手段,虽然手段粗暴老套,但很有效。所以在写这篇文章的时候,找了一个典型案例分享给大家,证据截图如下。
将URL中的参数内容展示到网页原本是一些网页的特殊功能,以往的经验告诉我,如果这个功能处理不好,可能会引发XSS漏洞。现在不得不意识到,这个功能也被黑帽SEO利用过。通过在URL或者帖子数据包中构造推广关键词(常见于搜索框功能),然后将推广关键词页面加入蜘蛛池,即可让搜索引擎收录,达到推广的目的。一般这种方式常用于推广QQ号、盈利网站等(类似广告),当我们通过搜索引擎搜索某些关键词(比如色情资源)时,就会显示这个页面,从而达到推广自己账号或者网站的目的。当然,这只是一种推广手段,并不涉及太多的引流。
利用网页劫持转移流量
网页劫持又称网站劫持或搜索引擎劫持,是目前黑帽SEO中最盛行的一种做法。其原因可以简单概括为:易收录,难发现。易收录是指搜索引擎还没有很好的机制来检测这种作弊手段,网页劫持手法依然可以吸引大量的流量。难发现是指网页劫持手法比较隐蔽,一般非技术人员很难发现其存在。
网页劫持分为服务器劫持、客户端劫持、百度快照劫持、百度搜索劫持等。
网页劫持可以是劫持跳转,也可以是劫持所呈现的网页内容(不同于直接篡改网页内容),目前在私服等暴利行业被广泛使用。
真实的网络劫持案例
几个月前,我处理过一个网页劫持案,案发原因是某政府网站出现了相关内容(不包括新闻页面),这显然是不合规的。排除管理员的失误,恐怕这个网站极有可能被黑了。我先是访问了备案上的链接,然后浏览器里出现了一个正常的政府页面,片刻之后,网页瞬间跳转到了该页面。图1是一个正常的政府页面:
图2是如下页面:
可以看到页面域名为,明显不是之前的政府网站域名。看到这个现象,结合多年的安全经验,大致可以猜测这个网站应该是被劫持了。通过分析上述过程的数据包,不难发现,网站首页中嵌入了一段非法代码。
这个代码存放在xx.xxx.xx.xx的服务器上,查看服务器信息后发现是在日本。
分析完这些,不难发现,导致页面跳转的原因是网页中非法嵌入了一串代码,而这段代码可以控制访问网页时的页面跳转。这是最基本也是最常见的搜索引擎劫持方式,而且变种很多,种类也不同。最后我登录网页服务器查看,发现大量的HTML文件被篡改,在文件开头写入了外部的JS引用。那么本次入侵事件的流程应该是黑客通过网页应用的一些漏洞(其实是管理后台弱密码+任意文件上传)入侵服务器,通过批量篡改服务器的静态文件达到网页劫持的目的。网页劫持的手法有很多,本案例无法一一概括,请继续阅读后面的介绍,了解更多详情。
服务器劫持
服务器劫持又叫全局劫持,此种手段是通过修改网站的动态语言文件,确定访问来源并控制返回内容,从而达到网页劫持的目的,其特点往往是修改asp/aspx/php等后缀的文件,达到动态呈现网页内容的效果。
.asa、.asax、conn.asp、conn.php等文件比较特殊,每次执行动态脚本时,会先加载脚本,再执行目标脚本。所以只要在.asa中写上判断用户系统信息(访问来源等)的代码即可,如果是蜘蛛访问就返回关键词网页(你要推广的网站),如果是用户访问就返回正常页面。
客户端劫持
客户端劫持的方法有很多种,但是最常用的两种就是js劫持和页面劫持。js劫持的目的是在目标网页中植入恶意的js代码,达到控制网站跳转、隐藏页面内容、劫持窗口等目的。js植入方法可以通过入侵服务器直接写入源代码中;也可以写入数据库中,因为有些页面会呈现数据库内容。js劫持代码示例:下面的代码可以让一段js在通过搜索引擎搜索并点击页面时执行并跳转到该页面;而直接输入URL访问网页时则跳转到404页面。
今天=新日期();
今天=今天.()+”-“+(今天.()+1)+”-”+今天.();
var =/.(sogou|so||baidu|||yahoo|bing|||vnet|360|ioage|sm|sp)(.[a-z0-9-]+){1,2}//ig;
var where =.; if(.test(where)){ .write (''); } else { ..href=”/404.htm”; }
代码分析:通过判断来源,如果来源为空,就跳转到404页面。如果是搜索引擎来的,也会显示,然后写代码控制跳转。如果只是想要控制显示不同的内容,可以修改php、asp代码;如果需要劫持搜索引擎搜索框,可以写JS代码做本地浏览器跳转。当然js功能可以无限扩展。比如可以控制某个IP地址一天之内第一次访问正常,其余访问都跳转等等。劫持就是在html代码的head里加入特殊标签。代码如下:
劫持使用 Meta Tag(自动重定向)功能来转移流量。
直接篡改网页内容(比较低级)
有些黑客入侵一个网站之后,喜欢直接篡改网页内容,比如放上自己的QQ号,或者将网页篡改成非法页面进行推广。在这里我鄙视这样做的黑客,因为这是最糟糕的、最低级的手段。糟糕的是直接篡改网页内容可能会给网站造成无法挽回的损失;低级的是这种方法非常容易被发现,不能真正起到引流和推广的作用。
使用高权威网站的二级目录
即黑客入侵一个网站后,在该网站的二级目录下创建很多用于自己推广的页面。黑客为了达到吸引流量的目的,往往需要创建大量的二级目录页面,因此需要使用寄生程序自动创建页面。此方法同样需要入侵高权重网站,并获取网站服务器权限。与网页劫持不同,此方法侧重于利用高权重网站本身,在其目录下创建多个推广页面;而网页劫持侧重于隐藏自身,可以动态呈现网页内容给客户。因此在实际使用中,黑客经常会将两者结合使用。此方法类似于使用泛解析器进行黑帽攻击
原文链接: