弧度SEO网站优化技巧.网络源码程序分享

当前位置:首页 > SEO优化工具 > ·

黑帽SEO蜘蛛池之案列剖析篇   

  此系统文章共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为工具篇,主要介绍黑帽seo中经常使用到的一些工具,及其用途。
  
  搞黑帽SEO往往都是批量操作,因此自动化工具不可或缺,也是整个黑产环中比较重要的一环。本篇将会介绍几款黑帽seo中常用的工具,由于本篇写于一年前,因此部分工具可能已淘汰或者升级。黑帽seo与其他黑产行为不同的是,它需要时间去创造价值。如果是倒卖数据,只需要入侵服务器脱裤走人,而黑帽seo需要潜伏在服务器上一段时间,因为它主要靠引流来创造价值。那么如何做到不被服务器运维发现就至关重要了,也是黑帽seo行为是否能最终成功的关键。
  黑帽SEO蜘蛛池之案列剖析篇   
  寄生虫(jsc)
  
  植入寄生虫是黑帽SEO常用的一种方法,通过侵入别人网站,植入寄生虫程序,自动生成各种非法页面。之所以叫做寄生虫是因为能够自己触发生成,而不是一次生成,例如在访问网页的时候触发,自动生成页面且形成链轮等。简单来说,寄生虫是一种程序,此程序的功能是能够自己创建网页文件,而创建的条件可以定制,比如说当有人访问某个页面时就会触发寄生虫程序生成一批新的网页文件,或者每天定时创建等等。
  
  我曾经在给一个客户处理应急响应事件时,便遇到过此类状况。每当我清理完所有恶意网页文件后,服务器上都会不时地自动生成一大批新的网页文件。令人头疼的是,当时我完全掌握不了生成新文件的规律。后来我们在一一排除web服务器上的文件时,发现了其中一个恶意的动态语言文件(由于种种原因,样本没有保留下来),此恶意文件就是类似寄生虫程序,会在我们访问此网站的某个页面触发,生成一批新的恶意页面。
  
  寄生虫分类
  
  寄生虫分为动态与静态,动态寄生虫程序的就是会不断自动生成新的页面(如我上面所述案例),或者是刷新页面以后自动变化内容,动态寄生虫生成的恶意文件往往是asp/php后缀文件;而静态寄生虫程序生成的页面往往都是固定不变的内容,大多为html后缀文件。
  
  寄生虫模板
  
  寄生虫程序生成的页面往往都是有固定模板的,模板的好坏有时也决定了是否能够被搜索引擎快速收录,以下是我收集的两种寄生虫程序生成的模板页面。
  
  寄生虫模板案例一:
  
  寄生虫模板案例二:
  
  静态寄生虫挂二级目录案例
  
  案例来自去年处理的一起入侵检测事件,我们发现目标网站上被挂了非法推广页面,如下图所示:
  
  通过登录web服务器查看,我们发现了网站根目录下多了一个二级目录ds,而ds目录内放满了html文件,都是通过寄生虫生成的。(由于时间久远,html样本文件已丢失)
  
  通过登录服务器日志分析,我们最终发现黑客是通过web应用程序漏洞获取到了服务器权限,并在该服务器上利用静态寄生虫程序创建了大量恶意的html后缀文件,并存放在ds目录下,其利用的便是高权重网站二级目录手法。
  
  以上占用大量篇幅介绍了很多黑帽seo的手法,也介绍了寄生虫程序这一自动生成网页文件的利器。那么黑帽seo是如何让这些非法页面快速被搜索引擎收录的呢?我们知道如果这些恶意推广的页面无法被搜索引擎收录,那么黑帽SEO就达不到预期的效果。起初在研究黑帽seo时我也一直在思考这个问题,按常理搜索引擎不应该会收录具有恶意内容的推广页面,而事实是目前我们随便在百度上搜site:.gov.cn 博彩或者site:.edu.cn 色情,就会出现一大批被挂上博彩色情的政府教育机构网站。显然这些页面目前还是能够很好地被搜索引擎收录,甚至能很快被收录,我曾经发现过几分钟内被收录的恶意页面。那么是搜索引擎故意为之,还是有人利用了搜索引擎的某些特征或者说漏洞?要理解这个问题,我想必须得介绍一下黑帽SEO又一大利器—-蜘蛛池。
  
  蜘蛛池
  
  蜘蛛池是一种通过利用大型平台权重来获得搜索引擎收录以及排名的一种程序。原理可以理解为事先创建了一些站群,获取(豢养)了大量搜索引擎蜘蛛。当想要推广一个新的站点时,只需要将该站点以外链的形式添加到站群中,就能吸引蜘蛛爬取收录。简单来说就是通过购买大量域名,租用大量服务器,批量搭建网站形成站群。而这些网站彼此之间形成链轮,网站内容大多为超链接,或者一些动态的新闻内容等。经过一段时间的运营,此站群每天就能吸引一定量的搜索引擎蜘蛛,蜘蛛的多少要看网站内容搭建的好坏以及域名的个数。当蜘蛛数量达到一个量级且稳定以后,就可以往里面添加想要推广的网页,比如通过黑帽SEO手段创建的非法页面。这一过程就好比在一个高权重网站上添加友情链接,会达到快速收录的目的。
  
  蜘蛛池交易平台
  黑帽SEO蜘蛛池之案列剖析篇   
  我随便百度了一下,发现互联网上存在很多蜘蛛池交易平台,即可通过互联网上的蜘蛛池推广恶意网页。这种方式省去了自己搭建蜘蛛池的麻烦,却也为黑帽seo人员提供了便利。在收集资料时,我挑选了其中一个交易平台,截图如下:
  
  蜘蛛池站点案例
  黑帽SEO蜘蛛池之案列剖析篇   
  在为本篇文章收集黑帽SEO相关资料时,我发现了一款经典的蜘蛛池站点,在此分享。
  
  其特点是内容动态生成,刷新页面发现内容随机改变
  黑帽SEO蜘蛛池之案列剖析篇   
  很明显此网站内容都是通过动态寄生虫程序生成的,且不断变化内容来增加百度对其收录。(百度目前对原创内容的收录率比较高)
  
  几大搜索引擎收录情况
  
  百度搜索引擎收录情况:
  黑帽SEO蜘蛛池之案列剖析篇   
  谷歌搜索引擎收录情况:
  黑帽SEO蜘蛛池之案列剖析篇   
  bing搜索引擎收录情况:
  黑帽SEO蜘蛛池之案列剖析篇   
  搜狗搜索引擎收录情况:
  黑帽SEO蜘蛛池之案列剖析篇   
  通过对比几大常用搜索引擎对此蜘蛛池站点的收录情况,我们不难看出这套蜘蛛池程序目前只对百度搜索引擎爬虫有效。当然78条的收录量对于一个蜘蛛池站点来说不算很高,说明百度对此手段已有所防范。
  
  隐身的技术
  
  在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。有时这并非是管理员的粗心大意,而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后,我想你大概能了解这其中的缘由了,网页劫持能控制跳转控制页面呈现的内容,这便是难以被管理员发现的主要原因。除此之外,寄生虫程序能够自动生成网页也使得其生存能力很强,不易被根除。其次我们在发现网站被挂恶意网页后,通常会登录服务器进行查看,而有时我们很难找到被非法篡改或者被恶意植入的脚本文件,因为此类型文件被黑客精心地隐藏了起来。那么除了上述手段之外,黑客还有哪些手段来隐藏自身,使之生生不灭?
  
  网页劫持控制跳转
  
  网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实,让网站管理员不容易发现。
  
  nginx二级目录反向代理技术
  
  通过配置nginx/apache等中间件配置文件设置目录代理,将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时,实际访问到的资源是自己服务器上的某个目录(目标服务器会去自己服务器上拿数据)。这种手法不需要修改目标服务器网站源码,只需要修改中间件配置文件,不易被删除也不易被发现。
  
  隐藏文件
  
  给文件设置属性隐藏。我曾经遇到过此类事件,当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy。而当我们对这些文件进行扫描时,并未发现任何异常,一切都变得匪夷所思。而最后的结果让我们哭笑不得,原来恶意文件被设置成了属性隐藏,通过肉眼观察的技术人员并没有将此文件copy下来,因此这也算是一种有效的障眼法。
  
  不死文件
  
  不死文件指的是删除不了的webshell或者是非法页面文件(.html或者动态文件),此类事件在实际中没有遇到过,但理论上确实可行。
  
  设置畸形目录
  
  目录名中存在一个或多个. (点、英文句号)
  
  1
  
  md a…
  
  该目录无法被手工删除,当然命令行可以删除
  
  1
  
  rd /s /q a…
  
  特殊文件名
  
  其实是系统设备名,这是Windows 系统保留的文件名,普通方法无法访问,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt 、aux.txt,aux.pasp,aux.php等。
  
  1
  
  echo hello>\.\c:\a…\aux.txt
  
  畸形目录+特殊文件名
  
  1
  
  2
  
  md c:\a…
  
  echo hello>\.\c:\a…\aux.asp #注意:这里的路径要写绝对路径(上传的aux.php木马可以被执行)
  
  删除:
  
  1
  
  rd /s /q \.\c:\a…
  
  方法还有很多,不一一列举了。

版权保护: 转载请保留链接: http://www.huduseo.com/seogj/409.html

1 条回应

注册为本站用户,登录后才可以发表评论!

  1. 6662019-6-21 · 3:07

    长沙弧度SEO轻博客,陪你看看SEO优化区块!长沙SEO【网站优化技术】_长沙网络推广_长沙弧度seo网络公司