黑帽SEO剖析之隱身篇
黑帽SEO剖析之隱身篇
發表於 2017-09-28 | 分類於 黑產研究 | 熱度 1445 ℃
視而不見,謂合道於希夷;挹之則盈,方同功於造化
此係統文章總共分為四篇,分別是手法篇、工具篇、隱藏篇、總結篇;本篇為隱身篇,主要介紹黑帽seo中一些隱身的手段。黑帽seo與其他黑產行為不同的是,它需要時間去創造價值。如果是倒賣資料,只需要入侵伺服器脫褲走人,而黑帽seo需要潛伏在伺服器上一段時間,因為它主要靠引流來創造價值。那麼如何做到不被伺服器運維發現就至關重要了,也是黑帽seo行為是否能最終成功的關鍵。
隱身的技術
在處理的一些入侵應急響應事件中,我們發現有些網站被掛惡意頁面達數月甚至數年之久,而在此期間管理員竟然毫無察覺。有時這並非是管理員的粗心大意,而是黑客過於狡猾。在瞭解了我之前所介紹的網頁劫持手段後,我想你大概能瞭解這其中的緣由了,網頁劫持能控制跳轉控制頁面呈現的內容,這便是難以被管理員發現的主要原因。除此之外,寄生蟲程式能夠自動生成網頁也使得其生存能力很強,不易被根除。其次我們在發現網站被掛惡意網頁後,通常會登入伺服器進行檢視,而有時我們很難找到被非法篡改或者被惡意植入的指令碼檔案,因為此型別檔案被黑客精心地隱藏了起來。那麼除了上述手段之外,黑客還有哪些手段來隱藏自身,使之生生不滅?
網頁劫持控制跳轉
網頁劫持中的控制跳轉就是為了隱藏網站已被入侵的事實,讓網站管理員不容易發現。
nginx二級目錄反向代理技術
通過配置nginx/apache等中介軟體配置檔案設定目錄代理,將伺服器上某個目錄代理到自己搭建伺服器上的某個目錄。即瀏覽者在開啟thief.one/2016/目錄時,實際訪問到的資源是自己伺服器上的某個目錄(目標伺服器會去自己伺服器上拿資料)。這種手法不需要修改目標伺服器網站原始碼,只需要修改中介軟體配置檔案,不易被刪除也不易被發現。
隱藏檔案
給檔案設定屬性隱藏。我曾經遇到過此類事件,當時我們一個技術人員通過肉眼選擇了伺服器上一批web目錄下的檔案進行copy。而當我們對這些檔案進行掃描時,並未發現任何異常,一切都變得匪夷所思。而最後的結果讓我們哭笑不得,原來惡意檔案被設定成了屬性隱藏,通過肉眼觀察的技術人員並沒有將此檔案copy下來,因此這也算是一種有效的障眼法。
不死檔案
不死檔案指的是刪除不了的webshell或者是非法頁面檔案(.html或者動態檔案),此類事件在實際中沒有遇到過,但理論上確實可行。
設定畸形目錄
目錄名中存在一個或多個. (點、英文句號)
1
md a…
該目錄無法被手工刪除,當然命令列可以刪除
1
rd /s /q a…
特殊檔名
其實是系統裝置名,這是Windows 系統保留的檔名,普通方法無法訪問,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt 、aux.txt,aux.pasp,aux.php等。
1
echo hello>\.\c:\a…\aux.txt
畸形目錄+特殊檔名
1
2
md c:\a…
echo hello>\.\c:\a…\aux.asp #注意:這裡的路徑要寫絕對路徑(上傳的aux.php木馬可以被執行)
刪除:
1
rd /s /q \.\c:\a…
方法還有很多,不一一列舉了。