搜索引擎劫持——博彩专题

幸运草
幸运草
幸运草
896
文章
3
评论
2020年3月29日19:05:36 评论 313

为什么出此专题

长久以来,EMLab攻防实验室结合网安协查办案,发现不少政府网站被篡改的案例,相信这一直是大家的痛点。特出此专题,为大家扫盲。废话不多说,直接上硬菜。

故事开始前,先给大家恶补一下什么是博彩。博彩,在业内又称为菠菜、bc,你在百度上直接搜博彩,是搜不出什么结果的,当你百度菠菜网站或者bc网站的时候,就会豁然开朗 。

博彩网站客户来源

  1. 联盟挂广告,大家应该都没少见,当你在看小说或媒体信息时,突然一个令你喷血的窗口。。。
  2. 和一些站长合作,众所周知黄堵不分家,许多色情网站上都做着菠菜平台的广告,咳咳!本来打算插个图,但是发现即便我全部打码,也实在贴不出来 ,不要问我车牌号多少,无照驾驶中,,,
  3. 电话销售人员、专门打电话和群发短信广告来获取用户。但是这个人力成本、管理成本会比较高。
  4. 搜索引擎劫持。搜索引擎劫持是目前黑产最喜欢的一种网页引流方式,此手法往往通过入侵政府、教育机构网站(权重高),修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等;表现形式可以是劫持跳转,也可以是劫持呈现的网页内容,目前被广泛应用于私服、博彩等暴利行业;
  5. 黑吃黑。利用同行网站漏洞,盗取同行网站的用户数据。例如:用户的电话、微信之类的。然后在通过电话或短信或聊天工具把用户挖到自己的平台玩。

博彩网站的分类

简单来说,博彩网站分为广告版和流量版两种。

广告版就是大家经常见到的上面全是博彩图片、链接的广告。就像下图所示,为了避嫌,萌萌的马赛克送上-_-!

当然高级黑帽的引流方式不一样,广告版所需网站大部分为国内gov以及pr高,权重高的大站。gov省级的排名高,权高的在1000左右一天。这是各方面比较高的省级gov。国家级gov一般都在1000往上。这里只是说的博彩的一个广告版所需的站点每日价格。至于博彩自己每日流水主要是看流量吸引来的客户群体。这也就是大家网站老碰到网站篡改被挂马的原因...

流量版就是博彩站本身。国内博彩站数不胜数,大多都是小平台,经常被人拿下脱裤子出去卖或是洗钱,再不然就是做到一定程度,拿钱走人,换个域名继续骗钱。

至于大的平台比如九州,澳门什么的属于大平台。金额不定,成本不高。关键在于博彩自己的广告版和流量,排名等数据。做起来很费钱,但是做好之后利润很高。而且大平台都是有风险管控体系的,想在上面赚大钱是不可能,这辈子都不能赚到钱的,或者当你真的赚到大钱的时候,你会突然发现平台跑路了ヾ(✿゚▽゚)ノ

好了,简单讲解一下博彩,终于到了本文的精华部分:

搜索引擎劫持

搜索引擎劫持就是当黑客入侵网站后,在网站中加入js或修改全局配置文件,增加相应的劫持代码。并且一般会加入判断条件,会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工,如果是人工会返回正常的网站;如果是爬虫,会返回相关博彩、娱乐类等黑客设置好的网站,偶尔也会碰到人工也会跳转的。当然还有个别会判断地点、时间等有针对性的筛选受害人。

搜索引擎劫持主要分为服务端劫持、客户端劫持。其表现形式主要分两种:劫持跳转与劫持呈现的内容。目前被广泛应用于私服、博彩等暴利行业。

    1. 客户端劫持主要利用的就是通过在网页中插入js脚本进行劫持跳转。
    2. 服务端劫持主要利用的就是通过在服务器上修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种全局文件,来实现全局劫持的效果。

搜索引擎劫持内容细分的话又分为劫持快照、关键词、title、网站描述、网站logo、网页内容等。黑灰产主要用来:非法盗取流量及seo(搜索引擎优化)排名

真题讲解

这里给大家举一个真实案例帮助大家深入了解一下搜索引擎劫持。以下案例中体现到的文件名,日期,名称等都是虚拟的。

2018年5月x日,xxxx政府门户网站发现主页被非法篡改,篡改内容为博彩网站。

接到通知时,访问首页查看源代码,没有发现恶意代码。百度搜索查看快照,发现快照内容正常,不过关键词等信息已被篡改。可见这里对方进行了agent判断。

远程客户的服务器,查看网站代码文件,发现磁盘里有几次备份记录,首页代码文件创建日期为昨天创建,猜测首页代码已经恢复。

查找最近被修改的文件,发现有大量文件在近期都被修改,后来联系客户得知客户发现网站出现异常,当即就用以前的备份将网站代码给覆盖了,此路不通。

发现服务器装有安全狗和免费版G01,当即查看日志,发现隔离区存在不少木马,使用文件编辑器查看木马,发现php一句话木马,php大马,还有部分跳转木马。在其中一个木马中发现一个js外链。

具体代码这里就不列出来了,木马末尾还伪造404,功能比较新颖,根据不同的refer来源,不同的agent,甚至还有ip黑名单,呈现的内容都不一样,有的跳转博彩站,有得则是博彩新闻,直接访问该php是404。于是我们直接访问该js

查看代码,大致功能是如果是手机端访问,则跳转到注册页面,如果不是则跳转至另一个博彩首页。与网安提供的截图一致,至此找到关键性线索。

根据查杀日志,找到此文件的文件名为1.php,查看文件属性,发现文件修改时间为2018年5月x日,查看当时日志,对方修改文件使用的木马文件2.php,为post型大马,由于其采用新型的加密方式,可直接过狗实现上传。

批量查询最近一个月的2.php访问记录,发现上千条记录,将日志导出至Excel,得知服务器早在去年就已被攻陷,中间上上下下,大致有四次被黑产利用,分别被用于彩票,赌博。其中手段不一,中间还有很多比较有意思的木马,自动组合关键词,文章,随机生成博彩页面。

根据攻击者的ip变动情况,分析ip发现攻击者使用的是真实宽带,收集部分ip,并取证交给网安。

至此,整篇文章就结束了 ,主要目的在于给大家扫盲,大神绕过 。

本文来源于:搜索引擎劫持——博彩专题-变化吧博客
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧博客观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
当心!你的DNS可能被劫持了! 劫持

当心!你的DNS可能被劫持了!

百度疑遭神马流量劫持 搜索暗战又将爆发?近期,有网友在微博上爆料说,在使用百度搜索的时候,浏览完落地页返回搜索结果页时,会进入到一个虚假的百度移动搜索结果页,一眼看去与百度搜索并无差别,但仔细观察会发...
8种网络黑灰产作案工具 劫持

8种网络黑灰产作案工具

个人信息安全、黑灰产业链... 这些词语近年来高频出现 除了网络安全相关的专业人士 现在普通的网络用户 对网络安全的重视程度也越来越高 9月17日,2018国家网络安全宣传周——网络安全博览会揭幕。本...
网络诈骗就在我们身边,时刻提高警惕 劫持

网络诈骗就在我们身边,时刻提高警惕

为什么DNS监测能够让你的网络更加安全但由于极少有公司会出于安全目的监测DNS状态,DNS如今已成为攻击者理想的攻击手段。 在DNS层实施安全防御,可以有效检测和控制此类恶意软件感染。在恶意连接建立之...