黑帽SEO剖析之工具篇

此系统文章总共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为工具篇,主要介绍黑帽seo中经常使用到的一些工具,及其用途。  

搞黑帽SEO往往都是批量操作,因此自动化工具不可或缺,也是整个黑产环中比较重要的一环。本篇将会介绍几款黑帽seo中常用的工具,由于本篇写于一年前,因此部分工具可能已淘汰或者升级。

寄生虫(jsc)

植入寄生虫是黑帽SEO常用的一种方法,通过侵入别人网站,植入寄生虫程序,自动生成各种非法页面。之所以叫做寄生虫是因为能够自己触发生成,而不是一次生成,例如在访问网页的时候触发,自动生成页面且形成链轮等。简单来说,寄生虫是一种程序,此程序的功能是能够自己创建网页文件,而创建的条件可以定制,比如说当有人访问某个页面时就会触发寄生虫程序生成一批新的网页文件,或者每天定时创建等等。

我曾经在给一个客户处理应急响应事件时,便遇到过此类状况。每当我清理完所有恶意网页文件后,服务器上都会不时地自动生成一大批新的网页文件。令人头疼的是,当时我完全掌握不了生成新文件的规律。后来我们在一一排除web服务器上的文件时,发现了其中一个恶意的动态语言文件(由于种种原因,样本没有保留下来),此恶意文件就是类似寄生虫程序,会在我们访问此网站的某个页面触发,生成一批新的恶意页面。

寄生虫分类

寄生虫分为动态与静态,动态寄生虫程序的就是会不断自动生成新的页面(如我上面所述案例),或者是刷新页面以后自动变化内容,动态寄生虫生成的恶意文件往往是asp/php后缀文件;而静态寄生虫程序生成的页面往往都是固定不变的内容,大多为html后缀文件。

寄生虫模板

寄生虫程序生成的页面往往都是有固定模板的,模板的好坏有时也决定了是否能够被搜索引擎快速收录,以下是我收集的两种寄生虫程序生成的模板页面。

寄生虫模板案例一:

寄生虫模板案例二:

静态寄生虫挂二级目录案例

案例来自去年处理的一起入侵检测事件,我们发现目标网站上被挂了非法推广页面,如下图所示:

通过登录web服务器查看,我们发现了网站根目录下多了一个二级目录ds,而ds目录内放满了html文件,都是通过寄生虫生成的。(由于时间久远,html样本文件已丢失)

通过登录服务器日志分析,我们最终发现黑客是通过web应用程序漏洞获取到了服务器权限,并在该服务器上利用静态寄生虫程序创建了大量恶意的html后缀文件,并存放在ds目录下,其利用的便是高权重网站二级目录手法。  

以上占用大量篇幅介绍了很多黑帽seo的手法,也介绍了寄生虫程序这一自动生成网页文件的利器。那么黑帽seo是如何让这些非法页面快速被搜索引擎收录的呢?我们知道如果这些恶意推广的页面无法被搜索引擎收录,那么黑帽SEO就达不到预期的效果。起初在研究黑帽seo时我也一直在思考这个问题,按常理搜索引擎不应该会收录具有恶意内容的推广页面,而事实是目前我们随便在百度上搜site:.gov.cn 博彩或者site:.edu.cn 色情,就会出现一大批被挂上博彩色情的政府教育机构网站。显然这些页面目前还是能够很好地被搜索引擎收录,甚至能很快被收录,我曾经发现过几分钟内被收录的恶意页面。那么是搜索引擎故意为之,还是有人利用了搜索引擎的某些特征或者说漏洞?要理解这个问题,我想必须得介绍一下黑帽SEO又一大利器—-蜘蛛池。

蜘蛛池

蜘蛛池是一种通过利用大型平台权重来获得搜索引擎收录以及排名的一种程序。原理可以理解为事先创建了一些站群,获取(豢养)了大量搜索引擎蜘蛛。当想要推广一个新的站点时,只需要将该站点以外链的形式添加到站群中,就能吸引蜘蛛爬取收录。简单来说就是通过购买大量域名,租用大量服务器,批量搭建网站形成站群。而这些网站彼此之间形成链轮,网站内容大多为超链接,或者一些动态的新闻内容等。经过一段时间的运营,此站群每天就能吸引一定量的搜索引擎蜘蛛,蜘蛛的多少要看网站内容搭建的好坏以及域名的个数。当蜘蛛数量达到一个量级且稳定以后,就可以往里面添加想要推广的网页,比如通过黑帽SEO手段创建的非法页面。这一过程就好比在一个高权重网站上添加友情链接,会达到快速收录的目的。

蜘蛛池交易平台

我随便百度了一下,发现互联网上存在很多蜘蛛池交易平台,即可通过互联网上的蜘蛛池推广恶意网页。这种方式省去了自己搭建蜘蛛池的麻烦,却也为黑帽seo人员提供了便利。在收集资料时,我挑选了其中一个交易平台,截图如下:

蜘蛛池站点案例

在为本篇文章收集黑帽SEO相关资料时,我发现了一款经典的蜘蛛池站点,在此分享。

其特点是内容动态生成,刷新页面发现内容随机改变

很明显此网站内容都是通过动态寄生虫程序生成的,且不断变化内容来增加百度对其收录。(百度目前对原创内容的收录率比较高)

几大搜索引擎收录情况

百度搜索引擎收录情况:

谷歌搜索引擎收录情况:

bing搜索引擎收录情况:

搜狗搜索引擎收录情况:

通过对比几大常用搜索引擎对此蜘蛛池站点的收录情况,我们不难看出这套蜘蛛池程序目前只对百度搜索引擎爬虫有效。当然78条的收录量对于一个蜘蛛池站点来说不算很高,说明百度对此手段已有所防范。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-10-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Pulsar-V

PHP微信开发入门(三)

下面,写一个构造自动回复消息的xml类,在微信接收到消息的时候,进行自动消息回复,贴上我的代码 <?php class We_Xml { /** * 构造...

39710
来自专栏北京马哥教育

Linux下的8个开源安全工具,再也不怕黑客啦

在计算机的发展史上,恶意软件和病毒攻击层出不穷。Linux的安全问题始终未能在大众范围里引起注意。但对于专业人士而言,Linux系统上的攻击虽然隐藏在水面之下,...

2300
来自专栏BestSDK

0元买!买!买!支付平台再曝漏洞,JAVA SDK存在XXE攻击|附解决方法

国家信息安全漏洞共享平台(CNVD)收录了第三方支付平台JAVA SDK存在XXE漏洞(CNVD-2018-12508)。综合利用上述漏洞,攻击者可实现商户服务...

1323
来自专栏蜉蝣禅修之道

android之远程控制电脑播放ppt

2273
来自专栏Python中文社区

基于 Python 的僵尸网络将 Linux 机器变成挖矿机器人

F5 Networks 的安全研究人员发现了一个新的 Linux 加密僵尸网络,并将其命名为"PyCryptoMiner",它主要的攻击目标是具有公开 SSH...

3175
来自专栏Seebug漏洞平台

创建简单、免费的恶意软件分析环境

原文:https://www.malwaretech.com/2017/11/creating-a-simple-free-malware-analysis-e...

4049
来自专栏FreeBuf

银行木马Trickbot新模块:密码抓取器分析

Trickbot曾经是一个简单的银行木马,已经走过了漫长的道路。随着时间的推移,我们已经看到网络犯罪分子如何继续为此恶意软件添加更多功能。

1553
来自专栏FreeBuf

地下暗流系列 |“免费雇佣”数十万用户,TigerEyeing病毒云控推广上千应用

一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全...

22210
来自专栏安恒信息

2014网络安全APT攻击专题分析

1.警惕利用Bash漏洞的IRC-BOT 什么是Bash安全漏洞 继2014年4月的“Openssl心脏流血”漏洞之后,另一个重大互联网威胁于2014年9月24...

3226
来自专栏FreeBuf

32TB Windows 10核心源码与微软内部项目泄露?

今年一直是微软的多事之秋,CIA、NSA的各路工具爆料都和微软密切相关,似乎更劲爆的总在后面:来自国外媒体The Register刚刚的报道,Windows 1...

2904

扫码关注云+社区

领取腾讯云代金券