黑帽SEO剖析之隐身篇

此系统文章总共分为四篇，分别是手法篇、工具篇、隐藏篇、总结篇；本篇为隐身篇，主要介绍黑帽seo中一些隐身的手段。

黑帽seo与其他黑产行为不同的是，它需要时间去创造价值。如果是倒卖数据，只需要入侵服务器脱裤走人，而黑帽seo需要潜伏在服务器上一段时间，因为它主要靠引流来创造价值。那么如何做到不被服务器运维发现就至关重要了，也是黑帽seo行为是否能最终成功的关键。

隐身的技术

在处理的一些入侵应急响应事件中，我们发现有些网站被挂恶意页面达数月甚至数年之久，而在此期间管理员竟然毫无察觉。有时这并非是管理员的粗心大意，而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后，我想你大概能了解这其中的缘由了，网页劫持能控制跳转控制页面呈现的内容，这便是难以被管理员发现的主要原因。除此之外，寄生虫程序能够自动生成网页也使得其生存能力很强，不易被根除。其次我们在发现网站被挂恶意网页后，通常会登录服务器进行查看，而有时我们很难找到被非法篡改或者被恶意植入的脚本文件，因为此类型文件被黑客精心地隐藏了起来。那么除了上述手段之外，黑客还有哪些手段来隐藏自身，使之生生不灭？

网页劫持控制跳转

网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实，让网站管理员不容易发现。

nginx二级目录反向代理技术

通过配置nginx/apache等中间件配置文件设置目录代理，将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时，实际访问到的资源是自己服务器上的某个目录（目标服务器会去自己服务器上拿数据）。这种手法不需要修改目标服务器网站源码，只需要修改中间件配置文件，不易被删除也不易被发现。

隐藏文件

给文件设置属性隐藏。我曾经遇到过此类事件，当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy。而当我们对这些文件进行扫描时，并未发现任何异常，一切都变得匪夷所思。而最后的结果让我们哭笑不得，原来恶意文件被设置成了属性隐藏，通过肉眼观察的技术人员并没有将此文件copy下来，因此这也算是一种有效的障眼法。

不死文件

不死文件指的是删除不了的webshell或者是非法页面文件（.html或者动态文件），此类事件在实际中没有遇到过，但理论上确实可行。设置畸形目录目录名中存在一个或多个. (点、英文句号)

md a..\

该目录无法被手工删除，当然命令行可以删除

rd /s /q a..\

特殊文件名其实是系统设备名，这是Windows 系统保留的文件名，普通方法无法访问，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt 、aux.txt，aux.pasp，aux.php等。

echo hello>\.\c:\a..\aux.txt

畸形目录+特殊文件名

md c:\a..\
echo hello>\.\c:\a..\aux.asp    #注意：这里的路径要写绝对路径（上传的aux.php木马可以被执行）

删除：

rd /s /q \.\c:\a..\

方法还有很多，不一一列举了。