此系统文章总共分为四篇,分别是手法篇、工具篇、隐藏篇、总结篇;本篇为工具篇,主要介绍黑帽seo中经常使用到的一些工具,及其用途。
搞黑帽SEO往往都是批量操作,因此自动化工具不可或缺,也是整个黑产环中比较重要的一环。本篇将会介绍几款黑帽seo中常用的工具,由于本篇写于一年前,因此部分工具可能已淘汰或者升级。
植入寄生虫是黑帽SEO常用的一种方法,通过侵入别人网站,植入寄生虫程序,自动生成各种非法页面。之所以叫做寄生虫是因为能够自己触发生成,而不是一次生成,例如在访问网页的时候触发,自动生成页面且形成链轮等。简单来说,寄生虫是一种程序,此程序的功能是能够自己创建网页文件,而创建的条件可以定制,比如说当有人访问某个页面时就会触发寄生虫程序生成一批新的网页文件,或者每天定时创建等等。
我曾经在给一个客户处理应急响应事件时,便遇到过此类状况。每当我清理完所有恶意网页文件后,服务器上都会不时地自动生成一大批新的网页文件。令人头疼的是,当时我完全掌握不了生成新文件的规律。后来我们在一一排除web服务器上的文件时,发现了其中一个恶意的动态语言文件(由于种种原因,样本没有保留下来),此恶意文件就是类似寄生虫程序,会在我们访问此网站的某个页面触发,生成一批新的恶意页面。
寄生虫分为动态与静态,动态寄生虫程序的就是会不断自动生成新的页面(如我上面所述案例),或者是刷新页面以后自动变化内容,动态寄生虫生成的恶意文件往往是asp/php后缀文件;而静态寄生虫程序生成的页面往往都是固定不变的内容,大多为html后缀文件。
寄生虫程序生成的页面往往都是有固定模板的,模板的好坏有时也决定了是否能够被搜索引擎快速收录,以下是我收集的两种寄生虫程序生成的模板页面。
寄生虫模板案例一:
寄生虫模板案例二:
案例来自去年处理的一起入侵检测事件,我们发现目标网站上被挂了非法推广页面,如下图所示:
通过登录web服务器查看,我们发现了网站根目录下多了一个二级目录ds,而ds目录内放满了html文件,都是通过寄生虫生成的。(由于时间久远,html样本文件已丢失)
通过登录服务器日志分析,我们最终发现黑客是通过web应用程序漏洞获取到了服务器权限,并在该服务器上利用静态寄生虫程序创建了大量恶意的html后缀文件,并存放在ds目录下,其利用的便是高权重网站二级目录手法。
以上占用大量篇幅介绍了很多黑帽seo的手法,也介绍了寄生虫程序这一自动生成网页文件的利器。那么黑帽seo是如何让这些非法页面快速被搜索引擎收录的呢?我们知道如果这些恶意推广的页面无法被搜索引擎收录,那么黑帽SEO就达不到预期的效果。起初在研究黑帽seo时我也一直在思考这个问题,按常理搜索引擎不应该会收录具有恶意内容的推广页面,而事实是目前我们随便在百度上搜site:.gov.cn 博彩或者site:.edu.cn 色情,就会出现一大批被挂上博彩色情的政府教育机构网站。显然这些页面目前还是能够很好地被搜索引擎收录,甚至能很快被收录,我曾经发现过几分钟内被收录的恶意页面。那么是搜索引擎故意为之,还是有人利用了搜索引擎的某些特征或者说漏洞?要理解这个问题,我想必须得介绍一下黑帽SEO又一大利器—-蜘蛛池。
蜘蛛池是一种通过利用大型平台权重来获得搜索引擎收录以及排名的一种程序。原理可以理解为事先创建了一些站群,获取(豢养)了大量搜索引擎蜘蛛。当想要推广一个新的站点时,只需要将该站点以外链的形式添加到站群中,就能吸引蜘蛛爬取收录。简单来说就是通过购买大量域名,租用大量服务器,批量搭建网站形成站群。而这些网站彼此之间形成链轮,网站内容大多为超链接,或者一些动态的新闻内容等。经过一段时间的运营,此站群每天就能吸引一定量的搜索引擎蜘蛛,蜘蛛的多少要看网站内容搭建的好坏以及域名的个数。当蜘蛛数量达到一个量级且稳定以后,就可以往里面添加想要推广的网页,比如通过黑帽SEO手段创建的非法页面。这一过程就好比在一个高权重网站上添加友情链接,会达到快速收录的目的。
我随便百度了一下,发现互联网上存在很多蜘蛛池交易平台,即可通过互联网上的蜘蛛池推广恶意网页。这种方式省去了自己搭建蜘蛛池的麻烦,却也为黑帽seo人员提供了便利。在收集资料时,我挑选了其中一个交易平台,截图如下:
在为本篇文章收集黑帽SEO相关资料时,我发现了一款经典的蜘蛛池站点,在此分享。
其特点是内容动态生成,刷新页面发现内容随机改变
很明显此网站内容都是通过动态寄生虫程序生成的,且不断变化内容来增加百度对其收录。(百度目前对原创内容的收录率比较高)
百度搜索引擎收录情况:
谷歌搜索引擎收录情况:
bing搜索引擎收录情况:
搜狗搜索引擎收录情况:
通过对比几大常用搜索引擎对此蜘蛛池站点的收录情况,我们不难看出这套蜘蛛池程序目前只对百度搜索引擎爬虫有效。当然78条的收录量对于一个蜘蛛池站点来说不算很高,说明百度对此手段已有所防范。