专栏首页FreeBuf黑帽SEO剖析之隐身篇

黑帽SEO剖析之隐身篇

此系统文章总共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为隐身篇,主要介绍黑帽seo中一些隐身的手段。

黑帽seo与其他黑产行为不同的是,它需要时间去创造价值。如果是倒卖数据,只需要入侵服务器脱裤走人,而黑帽seo需要潜伏在服务器上一段时间,因为它主要靠引流来创造价值。那么如何做到不被服务器运维发现就至关重要了,也是黑帽seo行为是否能最终成功的关键。

隐身的技术

在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。有时这并非是管理员的粗心大意,而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后,我想你大概能了解这其中的缘由了,网页劫持能控制跳转控制页面呈现的内容,这便是难以被管理员发现的主要原因。除此之外,寄生虫程序能够自动生成网页也使得其生存能力很强,不易被根除。其次我们在发现网站被挂恶意网页后,通常会登录服务器进行查看,而有时我们很难找到被非法篡改或者被恶意植入的脚本文件,因为此类型文件被黑客精心地隐藏了起来。那么除了上述手段之外,黑客还有哪些手段来隐藏自身,使之生生不灭?

网页劫持控制跳转

网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实,让网站管理员不容易发现。

nginx二级目录反向代理技术

通过配置nginx/apache等中间件配置文件设置目录代理,将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时,实际访问到的资源是自己服务器上的某个目录(目标服务器会去自己服务器上拿数据)。这种手法不需要修改目标服务器网站源码,只需要修改中间件配置文件,不易被删除也不易被发现。

隐藏文件

给文件设置属性隐藏。我曾经遇到过此类事件,当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy。而当我们对这些文件进行扫描时,并未发现任何异常,一切都变得匪夷所思。而最后的结果让我们哭笑不得,原来恶意文件被设置成了属性隐藏,通过肉眼观察的技术人员并没有将此文件copy下来,因此这也算是一种有效的障眼法。

不死文件

不死文件指的是删除不了的webshell或者是非法页面文件(.html或者动态文件),此类事件在实际中没有遇到过,但理论上确实可行。设置畸形目录目录名中存在一个或多个. (点、英文句号)

md a..\

该目录无法被手工删除,当然命令行可以删除

rd /s /q a..\

特殊文件名其实是系统设备名,这是Windows 系统保留的文件名,普通方法无法访问,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt 、aux.txt,aux.pasp,aux.php等。

echo hello>\.\c:\a..\aux.txt

畸形目录+特殊文件名

md c:\a..\
echo hello>\.\c:\a..\aux.asp    #注意:这里的路径要写绝对路径(上传的aux.php木马可以被执行)

删除:

rd /s /q \.\c:\a..\

方法还有很多,不一一列举了。

本文分享自微信公众号 - FreeBuf(freebuf),作者:nmask

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-10-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 利用Office文档结合社会工程学手段欺骗用户执行恶意代码

    Microsoft Office文档为攻击者提供了各种欺骗受害者运行任意代码的方法。当然,攻击者可能会尝试直接利用Office漏洞,但更常见的情况是向受害者发送...

    FB客服
  • 系统清理工具CCleaner后门事件后续:黑客删除服务器内容,Avast 公布受感染公司名单

    Avast 公司的威胁情报小组今天发布了上周 CCleaner 后门事件的新细节。 研究显示,CCleaner 黑客用于存储受感染主机数据的数据库空间不足,因此...

    FB客服
  • 内网渗透测试研究:隐藏通讯隧道技术

    在实际的网络中,通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况,如果发现异样,就会对通信进行阻断。那么什么是隧道呢?这里的隧道,就是一...

    FB客服
  • 必看 | Centos7学习笔记-常用命令写的好详细,一看就用心了!

    CentOS7服务器,默认网卡名为ifcfg-eno16777736,如果我们想改成ifcfg-eth0,使用如下步骤即可:

    网络技术联盟站
  • Eclipse 实用技巧

    代码智能提示 Java智能提示 Window -> Preferences -> Java -> Editor -> Content Assist -> Aut...

    静默虚空
  • 搭建自己的技术博客系列(二)把 Hexo 博客部署到 GitHub 上

    git config --global user.email "youremail"

    黄小斜
  • python基础教程:文件读写

    在Linux系统中,一切都是文件。但我们通常说的文件是保存在磁盘上的图片、文档、数据、程序等等。而在程序的IO操作中,很多时候就是从磁盘读写文件。本节我们讲解P...

    一墨编程学习
  • 详解 MySQL 5.7 新的权限与安全问题

    1、新版 MySQL 权限问题:  问题:SQL Error (1130): Host '192.168.1.100' is not allowed to co...

    用户1177713
  • 一日一技:这个数据库用起来刚刚好

    我的公众号是使用Bear这个Mac App来写的。它在官网上写到,所有笔记数据通过SQLite来储存,如下图所示。

    青南
  • 和 lvgo 一起学设计模式(二十)行为型之状态模式

    我刚开始看到这个模式的时候,没啥感觉,不知道这东西要说的是个啥,后来看了个案例,渐渐清楚了,这个模式本身还是比较简单的。

    星尘的一个朋友

扫码关注云+社区

领取腾讯云代金券