企業官網慘變色情網站，360安全大腦獨家揭秘幕後騙局

網際網路資訊服務（Internet Information Services）是由微軟公司提供的基於執行Microsoft Windows的網際網路基本服務，大多數Windows系統伺服器均有安裝，常用來執行Web服務。而當這一底層架構被惡意駭客盯上，網路威脅自然隨之而來。

近日，360安全大腦獨家發現一新型惡意模組，被駭客植入其攻陷的IIS WEB伺服器，並利用該惡意模組替換IIS服務中的一個服務元件，躲避檢測查殺。經360安全大腦分析，本次攻擊事件最早開始於2020年8月，駭客攻陷數個知名雲服務提供商的數十臺伺服器，受影響網站數量高達幾千例，360安全大腦第一時間發出緊急安全預警。

攻陷公用雲主機伺服器

“染毒蜘蛛”過境數千網站

360安全大腦分析發現，被攻擊伺服器主要為公用雲主機伺服器，且通常駭客攻陷一個公用雲主機伺服器後，即可直接獲得幾十甚至上百個網站的控制權，其中不乏企業官網。360安全大腦監測資料顯示，此次遭攻擊伺服器高達數十臺，幾千個網站受波及。

（部分受害企業）

鑑於上述情況，360安全大腦第一時間對樣本展開分析，隨後發現駭客在攻陷目標伺服器後，會從網上下載一個包含db.db、dd.cc、e.cc模組、x64.dd、x86.dd五個檔案的惡意壓縮包，各檔案功能具體如下：

db.db 是一個SQLite3資料庫檔案。主要包含惡意模組需要的網站模版及關鍵字等資訊，此檔案後續會被寫入IIS目錄下的inetsrv\modrqflt.dll:db.db檔案中，這是一個擁有FILE_ATTRIBUTE_INTEGRITY_STREAM屬性的檔案，在目錄下不可見。

dd.cc是駭客開發的惡意模組安裝工具。駭客使用該工具可改變modrqflt.dll的訪問控制許可權(DACL)，從而成功將modrqflt.dll重新命名為cache.dll，並將惡意程式改名為modrqflt.dll。

e.cc模組是用來停止被攻陷伺服器日誌記錄的功能。執行之後，其會遍歷執行緒找到Eventlog服務的執行緒並停止，以此來停止日誌記錄的功能。

x64.dd為駭客編寫的64位惡意modrqflt.dll，主要用來替換C:\Windows\System32\inetsrv下iis伺服器自帶的modrqflt.dll。

x86.dd 則是駭客編寫的32位惡意modrqflt.dll，主要用來替換C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

（駭客攻陷目標伺服器後下載的惡意壓縮包）

modrqflt.dll是提供請求過濾處理（Request filtering handler）的功能模組，而成功替換後，駭客便可以過濾掉網站正常訪問請求，專門為搜尋引擎蜘蛛（爬蟲）提供色情素材。

完成惡意模組的替換後，當搜尋引擎蜘蛛（爬蟲）訪問網站原本失效連結時，此模組即會生成一個包含大量連結的“空白”頁面，並將HTTP響應碼由404改為200來欺騙“蜘蛛”（爬蟲）。而“蜘蛛”在獲取該頁面後，會繼續訪問頁面中的所有連結，並抽取關鍵字存入搜尋資料庫。此時，如果有使用者搜尋對應關鍵詞，就會返回上述偽造連結及頁面，如果惡意DLL仍然存在，則會直接跳轉到色情網站。

空白頁面神隱“透明”網址

騙過爬蟲蜘蛛猖狂搞顏色

404頁面並不少見，通常是由於伺服器地址變動，或者維護不到位等因素導致網站個別連結失效。正常情況下，當搜尋引擎蜘蛛爬取時遇到此類連結，也會顯示404頁面，但對於遭遇駭客攻陷的網站來說，其失效連結則會騙過“蜘蛛”，顯示空白頁面卻在原始碼中暗藏大量連結。

看到這裡你或許會有疑問，中招的網站怎麼區分正常的使用者和爬蟲呢？其實當使用者使用瀏覽器開啟一個網站，瀏覽器向網站伺服器發出請求時，會在請求資料頭部設定一個User-Agent的欄位，例如訪問百度時：

而當搜尋引擎爬取時，User-Agent設定的則有一些不一樣：

百度蜘蛛

Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html）

360蜘蛛：

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

神馬蜘蛛：

Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

搜狗蜘蛛：

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

此次事件中，不法駭客下載的惡意模組會透過判斷User-Agent區分使用者和蜘蛛（爬蟲），當識別為搜尋引擎蜘蛛後，就會返回上述100條連結，其中前80條hostname是惡意模組生成的隨機頁面，與當前網站的hostname一致；後20條hostname則是其他受害網站生成的隨機頁面，均為介面hxxp://zjclasjsdknlnxsa.com:8081/ping返回（此介面需要特殊User-Agent才能訪問）。

與此同時，100條隨機生成的頁面連結，看似雜亂無章其實暗藏一定規律的，它們的URL一般是由下圖中的規則構成，即[]中的為可選。

參照上圖的URL規則，觀察隨機連結中的path欄位會發現，它們全都是以lista/xzs/api/bks開頭，且以上四個關鍵詞，分別對應了四套惡意模組使用網站模版。

在生成網頁過程中，程式還會隨機讀取keyword等其他表中的資料，以此來替換網站模版中的對應留空位置。四套模版執行如下圖所示：

上述網頁顯示內容，都是訪問受害網址時資料庫關鍵字替換隨機生成的，搜尋引擎蜘蛛（爬蟲）則會將上述偽造的URL和頁面快取在資料庫中。當使用者在搜尋引擎中搜尋色情關鍵詞，一旦命中上述偽造頁面內容，那麼搜尋引擎就會返回上述偽造的URL和頁面摘要。

此時，如若使用者點選頁面網址，瀏覽器則會預設設定Referer欄位，以此來標明是從那個連結找到當前的連結。惡意模組正是利用這一點，區分當前訪問頁面是否來自於百度/360/搜狗/神馬等國內搜尋引擎中的一種。

特別是，如果介面hxxp://zjclasjsdknlnxsa.com:8081/jump有返回資料，則會設定頁面的內容為介面返回的資料：

如若沒有獲取到介面資料，則會訪問db.db資料庫，將jump中的程式碼插入網頁中：

<script type="text/javascript" src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

jump.js內容如下：

上述程式碼的主要功能就是跳轉到最終的色情網站：

而當我們在某搜尋引擎搜尋受害網站關鍵詞時，點選搜尋的連結，開啟的就是色情網址hxxps://2**sg.xyz/，雖然原網址完全是一個正規網站。

（搜尋網址為色情網站）

（受害網站原網址為正規網站）

黑灰產業鏈持續發酵

360安全大腦強勢出擊

經360安全大腦研判分析，此次是黑灰產業鏈的持續性攻擊事件，駭客團伙使用專業的滲透技術對各類網站進行攻擊並植入木馬，非法獲取伺服器控制權，並在隨意管控攻陷的肉雞伺服器的基礎上，利用搜尋引流擴散色情詐騙內容，影響正規網站正常業務執行。

現階段，駭客團伙攻擊仍在持續，廣大使用者應格外警惕，避免遭受不必要的損失。對此，360安全大腦給出如下安全建議：

1、儘快前往weishi.360.cn，下載安裝360安全衛士，有效攔截各類病毒木馬攻擊，保護電腦隱私及財產安全；

2、注重伺服器安全管理，規範安全等級保護工作，及時更新漏洞補丁；

3、建立網站安全策略，防止攻擊發生時危害進一步擴大。