浅谈正规网站被黑客劫持案列分析

  随着支付宝安全漏洞的暴露,网络安全问题越来越严重。作为一名信息安全从业人员,其负担沉重,道路漫长。然而,可以预见,在不久的将来,黑帽和白帽之间将会发生一场战争
所有主要的工业和领域都将参与其中,所谓的生死之战不会被夸大。为了备战未来的决战,我们必须充分了解这些未知而神秘的对手。
分析黑客劫持网站手法
黑客非法入侵有几个主要目的,其中最重要的是经济利益。近年来,国内安全形势不容乐观,地下黑市产业普遍存在,转卖公民数据也不少见。要解决这些问题,我们必须对整个黑色产业链有一个深刻的认识。
黑产品的形式多种多样,有的是直接的,比如闯入网站服务器获取数据并转售;有的是更隐蔽的,比如搜索引擎劫持获取流量,看似无声,却隐藏在一条长长的黑链后面。
当我和朋友们谈论“黑客”这个词时,他们的感觉常常是神秘而遥远的。但他们离我们很近。负责客户网站安全是我的日常工作之一,通常除了分析网站的安全漏洞外
我还会使用一些其他常用的工具来分析网站的整体安全性,如:搜索引擎。我相信大多数人每天都会联系搜索引擎,但可能会有一些我们从未注意过的细节,而且在无形中,我们可能会成为黑色产业链的一部分。
  通常来说,每天我都会打开搜索引擎查询网站的安全情况,今天也不例外,然而当我在查询关于某个地方政府网站的信息时,却出现了一些奇怪的敏感内容:
图一:
分析黑客劫持网站手法


政府网站上出现了博彩相关内容(排除新闻页面),这显然是不合规的。排除管理员失误添加导致,恐怕此网站多半是被黑客入侵了。抱着谨慎的态度,我决定深入研究一番。
  首先我访问了该记录上的链接,紧接着浏览器中出现了一个正常的政府页面,而也就须臾之间,网页瞬间又跳转到了博彩网页。
图二为被劫持跳转页面:
分析黑客劫持网站手法
不要觉得 我打码太严重,灰色网站的确广告 满满的  霸占了整个页面 !

 可以看到博彩页面的域名为www.*****.com,显然不是先前的政府网站域名xxxx.gov.cn。看到此现象,再结合多年安全经验,我大致能够猜测此网站应该是被搜索引擎劫持了。所谓搜索引擎劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。搜索引擎劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、博彩等暴利行业。
  通过分析以上过程的数据包,我们不难发现,在该网站前端页面被嵌入了一段非法代码。
分析黑客劫持网站手法
此代码存放在43.250.75.61服务器上,查看该服务器信息,发现其在日本。
我们访问此代码直接跳到 此灰色网站里面去,分析至此,我们不难发现,导致页面跳转的原因便是xxxx.gov.cn网页被非法嵌入了一窜代码,而此代码能够控制访问该网页时跳转到博彩页面。这是搜索引擎劫持最为基础且常见的一种方式,其变种甚多,类型方式也各异
当政府网站被挂博彩等敏感内容,其危害不言而喻。意识后问题严重性后,我立马联系了网站管理员,告知其详细情况,并帮助其整改。我们必须明白,搜索引擎劫持不是漏洞,只是一种黑产的表现形式。因此想要解决搜索引擎劫持问题,首先要解决网站本身的安全问题。
  细细回想一番,曾几何时当我们通过搜索引擎打开一个正常网页时,是否存在跳转到其他非法页面的情况。很有可能,那便是一个被搜索引擎劫持的网站,而当我们点击链接的那一刻,便成为了黑色产业链的一部分,因为我们为其带去了流量。


以上就是蓝域安全网为您分享的,浅谈正规网站被黑客劫持案列分析

如果您喜欢本篇文章转载请注明文章地址:http://www.yemogege.cn/SEO-WJ/361.html

版权保护: 本文由admin所发布,转载请保留本文链接: http://www.yemogege.cn/SEO-WJ/361.html

免责声明:蓝域安全网所发布的一切渗透技术视频文章,逆向脱壳病毒分析教程,以及相关实用源码仅限用于学习和研究目的
请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除! 

侵权删帖/违法举报/投稿等事物联系邮箱:yemogege@vip.qq.com 网站地图