黑帽SEO剖析之工具篇
發表於 2017-09-28 | 分類於 黑產研究 | 熱度 2710 ℃
視而不見,謂合道於希夷;挹之則盈,方同功於造化
此係統文章總共分為四篇,分別是手法篇、工具篇、隱藏篇、總結篇;本篇為工具篇,主要介紹黑帽seo中經常使用到的一些工具,及其用途。
搞黑帽SEO往往都是批量操作,因此自動化工具不可或缺,也是整個黑產環中比較重要的一環。本篇將會介紹幾款黑帽seo中常用的工具,由於本篇寫於一年前,因此部分工具可能已淘汰或者升級。
寄生蟲(jsc)
植入寄生蟲是黑帽SEO常用的一種方法,通過侵入別人網站,植入寄生蟲程式,自動生成各種非法頁面。之所以叫做寄生蟲是因為能夠自己觸發生成,而不是一次生成,例如在訪問網頁的時候觸發,自動生成頁面且形成鏈輪等。簡單來說,寄生蟲是一種程式,此程式的功能是能夠自己建立網頁檔案,而建立的條件可以定製,比如說當有人訪問某個頁面時就會觸發寄生蟲程式生成一批新的網頁檔案,或者每天定時建立等等。
我曾經在給一個客戶處理應急響應事件時,便遇到過此類狀況。每當我清理完所有惡意網頁檔案後,伺服器上都會不時地自動生成一大批新的網頁檔案。令人頭疼的是,當時我完全掌握不了生成新檔案的規律。後來我們在一一排除web伺服器上的檔案時,發現了其中一個惡意的動態語言檔案(由於種種原因,樣本沒有保留下來),此惡意檔案就是類似寄生蟲程式,會在我們訪問此網站的某個頁面觸發,生成一批新的惡意頁面。
寄生蟲分類
寄生蟲分為動態與靜態,動態寄生蟲程式的就是會不斷自動生成新的頁面(如我上面所述案例),或者是重新整理頁面以後自動變化內容,動態寄生蟲生成的惡意檔案往往是asp/php字尾檔案;而靜態寄生蟲程式生成的頁面往往都是固定不變的內容,大多為html字尾檔案。
寄生蟲模板
寄生蟲程式生成的頁面往往都是有固定模板的,模板的好壞有時也決定了是否能夠被搜尋引擎快速收錄,以下是我收集的兩種寄生蟲程式生成的模板頁面。
寄生蟲模板案例一:
寄生蟲模板案例二:
靜態寄生蟲掛二級目錄案例
案例來自去年處理的一起入侵檢測事件,我們發現目標網站上被掛了非法推廣頁面,如下圖所示:
通過登入web伺服器檢視,我們發現了網站根目錄下多了一個二級目錄ds,而ds目錄內放滿了html檔案,都是通過寄生蟲生成的。(由於時間久遠,html樣本檔案已丟失)
通過登入伺服器日誌分析,我們最終發現黑客是通過web應用程式漏洞獲取到了伺服器許可權,並在該伺服器上利用靜態寄生蟲程式建立了大量惡意的html字尾檔案,並存放在ds目錄下,其利用的便是高權重網站二級目錄手法。
以上佔用大量篇幅介紹了很多黑帽seo的手法,也介紹了寄生蟲程式這一自動生成網頁檔案的利器。那麼黑帽seo是如何讓這些非法頁面快速被搜尋引擎收錄的呢?我們知道如果這些惡意推廣的頁面無法被搜尋引擎收錄,那麼黑帽SEO就達不到預期的效果。起初在研究黑帽seo時我也一直在思考這個問題,按常理搜尋引擎不應該會收錄具有惡意內容的推廣頁面,而事實是目前我們隨便在百度上搜site:.gov.cn 博彩或者site:.edu.cn 色情,就會出現一大批被掛上博彩色情的政府教育機構網站。顯然這些頁面目前還是能夠很好地被搜尋引擎收錄,甚至能很快被收錄,我曾經發現過幾分鐘內被收錄的惡意頁面。那麼是搜尋引擎故意為之,還是有人利用了搜尋引擎的某些特徵或者說漏洞?要理解這個問題,我想必須得介紹一下黑帽SEO又一大利器—蜘蛛池。
蜘蛛池
蜘蛛池是一種通過利用大型平臺權重來獲得搜尋引擎收錄以及排名的一種程式。原理可以理解為事先建立了一些站群,獲取(豢養)了大量搜尋引擎蜘蛛。當想要推廣一個新的站點時,只需要將該站點以外鏈的形式新增到站群中,就能吸引蜘蛛爬取收錄。簡單來說就是通過購買大量域名,租用大量伺服器,批量搭建網站形成站群。而這些網站彼此之間形成鏈輪,網站內容大多為超連結,或者一些動態的新聞內容等。經過一段時間的運營,此站群每天就能吸引一定量的搜尋引擎蜘蛛,蜘蛛的多少要看網站內容搭建的好壞以及域名的個數。當蜘蛛數量達到一個量級且穩定以後,就可以往裡面新增想要推廣的網頁,比如通過黑帽SEO手段建立的非法頁面。這一過程就好比在一個高權重網站上新增友情連結,會達到快速收錄的目的。
蜘蛛池交易平臺
我隨便百度了一下,發現網際網路上存在很多蜘蛛池交易平臺,即可通過網際網路上的蜘蛛池推廣惡意網頁。這種方式省去了自己搭建蜘蛛池的麻煩,卻也為黑帽seo人員提供了便利。在收集資料時,我挑選了其中一個交易平臺,截圖如下:
蜘蛛池站點案例
在為本篇文章收集黑帽SEO相關資料時,我發現了一款經典的蜘蛛池站點,在此分享。
其特點是內容動態生成,重新整理頁面發現內容隨機改變
很明顯此網站內容都是通過動態寄生蟲程式生成的,且不斷變化內容來增加百度對其收錄。(百度目前對原創內容的收錄率比較高)
幾大搜尋引擎收錄情況
百度搜索引擎收錄情況:
谷歌搜尋引擎收錄情況:
bing搜尋引擎收錄情況:
搜狗搜尋引擎收錄情況:
通過對比幾大常用搜索引擎對此蜘蛛池站點的收錄情況,我們不難看出這套蜘蛛池程式目前只對百度搜索引擎爬蟲有效。當然78條的收錄量對於一個蜘蛛池站點來說不算很高,說明百度對此手段已有所防範。