2021黑帽SEO技術總結

2021黑帽SEO技術總結目錄黑帽SEO系列基礎知識 1黑帽SEO基礎概念 1黑帽SEO作弊手法 6黑帽SEO系列頁面跳轉 8頁面跳轉分類 8各種跳轉介紹 9黑帽SEO系列網頁劫持 10服務端劫持 10客戶端劫持 11手法對比 12黑帽SEO系列暗鏈 12利用CSS實現(xiàn)掛暗鏈 13利用JS實現(xiàn)掛暗鏈 14利用DIV+JS實現(xiàn)掛暗鏈 14掛暗鏈高級姿勢 14搜索引擎劫持案列分析 15黑帽SEO剖析之手法篇 19黑帽seo概念 19SEO的一些黑色手法 19黑帽SEO剖析之工具篇 34寄生蟲（jsc) 34蜘蛛池 40黑帽SEO剖析之隱身篇 51隱身的技術 51黑帽SEO剖析之總結篇 53如何檢測自身網站是否被劫持？ 53誰來為此買單？ 55如何制止與防御？ 55黑帽SEO系列基礎知識SEO全稱為搜索引擎優(yōu)化，是指通過站內優(yōu)化、站外優(yōu)化等方式，提升搜索引擎收錄排名。既然有SEO技術，便會有相應的從業(yè)人員，他們被稱為白帽SEO，專指通過公正SEO手法，幫助提升站點排名的專業(yè)人員。

當然有白便會有黑，由于白帽SEO優(yōu)化的過程將會十分漫長，一個新站想要獲取好的排名，往往需要花上幾年時間做優(yōu)化推廣。因此一些想要快速提升自身網站排名的小伙伴，便開始在SEO上研究作弊手法，從而誕生了黑帽SEO。黑帽SEO是指通過作弊手段，讓站點快速提升排名的一類SEO技術，或者說是黑客技術，比如說：黑鏈（暗鏈）、站群、網站劫持、橋頁等，黑帽SEO能夠快速提升排名，但畢竟是違規(guī)作弊行為，容易被K。

白帽與黑帽的優(yōu)缺點顯而易見，換句話說兩者皆不完美，因此便又誕生了灰帽SEO，介于兩者之間，既不違規(guī)，又可以較快速的提升排名。由于項目需要，最近開始接觸一些黑帽SEO的知識，在此總結分享，歡迎指正！黑帽SEO基礎概念域名概念：域名由兩個或兩個以上的詞構成，中間由點號分隔開，最右邊的那個詞稱為頂級域名。頂級域名我們接觸的頂級域名又分為兩類：

1.國家和地區(qū)頂級域名，目前200多個國家分配了頂級域名，例如中國是cn，日本是jp等；

2.國際頂級域名，例如表示工商企業(yè)的.com，表示網絡提供商的.net，表示非盈利組織的.org等。一級域名一級域名就是在comnetorg前加一級，比如：，thief.one等。二級域名，等都是二級域名。泛站群泛二級域名站群

前提：在做域名解析的時候，選擇了*

操作：進入服務器，可以借助泛二級域名建站工具，批量創(chuàng)建二級域名站點，從而實現(xiàn)站群的效果。泛端口站群

操作：先要獲得操作目標站點的服務器權限，進入服務器之后，可以使用泛端口站群建設工具，批量創(chuàng)建泛端口站點。主要是在iis里面批量創(chuàng)建站點，綁定站點對應的端口。對于泛端口站點，一定要注意一些重要端口別占用了，否則可以導致服務器出錯。一般泛站，用的比較多的是Dedecms程序。站中站就是在權重高的網站中創(chuàng)建一個自己的網站，其實就是添加很多外鏈，蜘蛛會認為這些網站也是屬于高權重網站的內容，因此權重也會比較高。但是由于這種做法太泛濫，導致百度修改了爬蟲算法。鏈輪

Y是想要推廣的網站，W是自己控制的外部網站，首先可以搞多個網站，一層層外鏈下去，形成鏈輪。當想要推廣某個網站時，可以在所有外部網站上添加Y的外鏈。谷歌貌已經對此不友好，百度還可以嘗試。蜘蛛池蜘蛛池是一種通過利用大型平臺權重來獲得搜索引擎收錄以及排名的一種程序。原理可以理解為事先創(chuàng)建了一些站群，獲?。ɑ筐B(yǎng)）了大量搜索引擎蜘蛛。當想要推廣一個新的站點時，只需要將該站點以外鏈的形式添加到站群中，就能吸引蜘蛛爬取收錄。寄生蟲寄生蟲是黑帽SEO常用的一種方法，通過侵入別人網站，植入寄生蟲程序，自動生成各種非法頁面。之所以叫做寄生蟲是因為能夠自己觸發(fā)生成，而不是一次生成，例如在訪問網頁的時候觸發(fā)，自動生成頁面且形成鏈輪等。黑帽SEO作弊手法SEO作弊手法不僅僅是為了提升網站排名，也有可能是為了陷害對手網站，降低其排名。PR劫持往往是利用301或者302跳轉，因為搜索引擎在處理301，302跳轉時，把目標URL當做實際收錄的URL。

即當從A域名302到B域名，而B域名的PR值比較高時，域名A在更新PR值后，也會顯示域名B的PR值，也就是說可以提升A的PR值。利用這一點，可以先將自己網站302跳轉到一個PR高的網站，等PR值更新后，取消轉向，放上自己的內容，這樣可以維持到下一次PR值更新，大概兩三個月的時間。網站跳轉隱藏頁面隱藏頁面指的是頁面使用程序判斷訪問者是普通用戶還是搜索引擎蜘蛛。如果是普通用戶，程序返回一個不考慮SEO，只給用戶看的頁面；如果是搜索引擎蜘蛛，程序就返回一個高度優(yōu)化的，但是由于優(yōu)化后無法閱讀的頁面。隱藏文字隱藏文字指的是網頁上用戶看不到，但搜索引擎能看到的文字，可以通過改變文字顏色，位置，大小等方式，代碼：123<divstyle="display:none">隱藏文字</div>positon:absolute;margin-right:-1000000px;垃圾連接垃圾連接通常指站長為了提高網站排名，去各大論壇網站留言，留下自己的連接，一般通過群發(fā)軟件完成這一操作。這種手法，容易被過濾掉，一些瀏覽器的插件或者博客的插件可以自動進行垃圾留言過濾。連接農場鏈接農場指的是整個網站或者部分網頁，沒有實質內容，完全是為了交換鏈接而存在。該頁面上全部是鏈接到其他網站，其他網站再鏈回來，互相交叉。橋頁橋頁也稱為“門頁”，此頁面質量很低，充斥著關鍵字，完全以關鍵詞排名與流量為目標，不考慮用戶體驗。當用戶訪問橋頁，一般會有兩種情況。頁面頂部以大字號連接到其他網站（想要推廣的網站），用戶因為看不清橋頁內容，有時不得不點擊連接。利用頁面自動跳轉技術。關鍵詞堆積關鍵詞堆積指的是在頁面上本來沒必要出現(xiàn)關鍵詞的地方反復刻意堆積關鍵詞，提高排名。誘餌替換誘餌替換指的是作弊者先通過普通關鍵詞制作頁面獲得排名后，更改為其他內容。刷站刷站是一種利用程序模擬用戶用搜索引擎，搜索某個關鍵詞，然后點擊瀏覽某個網頁的行為。掛暗鏈（黑鏈）手法：利用CSS，利用DIV+JS，利用JS等

作用：利用高權重網站外鏈來提升自身站點排名。

網站劫持分類：客戶端劫持，服務端劫持，快照劫持等

手法：一般利用js或者php、asp等代碼，達到劫持網站，控制跳轉以及網頁效果呈現(xiàn)的目的。

作用：利用高權重網站跳轉來引流量。

利用高權重網站二級目錄手法：將一些博彩網頁放在高權重網站的二級目錄之下。

作用：提高網站排名，引流量。利用高權重網站二級目錄反向代理通過配置nginx/apache等，設置目錄代理，將服務器上某個目錄代理到自己搭建服務器上的某個目錄。

即瀏覽者在打開http://thi.one/2016/目錄時，實際訪問到的資源是自己服務器上的某個目錄（目標服務器會去自己服務器上拿數(shù)據），這取決于nginx配置文件的寫法。這種手法不需要修改目標服務器網站源碼，只需要修改中間件配置文件，不易被刪除，不易被發(fā)現(xiàn)。黑帽SEO系列頁面跳轉頁面跳轉分類（一）服務端跳轉一般用戶不會感覺到跳轉的實際行為，往往通過代碼去控制，因此有些時候我們也不叫做跳轉。具體的服務端跳轉行為有很多，各個語言技術都有各自的特點。（二）客戶端跳轉客戶端跳轉分為：http層跳轉，應用層跳轉。

應用層跳轉分為：htmlhead跳轉，js跳轉等。http層跳轉http跳轉是指server根據工作情況通過http返回狀態(tài)碼，利用http的重定向協(xié)議指示客戶端瀏覽器跳轉到相應頁面的過程，一般返回碼是302。htmlhead跳轉（HTMLrefresh）在html代碼的head中添加特殊標簽，如下1<metahttp-equiv="refresh"content="5";url="http://thief.one/"/>表示：5秒之后轉到OneThief首頁，這個跳轉需要瀏覽器具體解析html后采能進行。js跳轉通過在html代碼中添加js代碼，通過js代碼實現(xiàn)跳轉：123<scriptlanguage="javascript"type="text/javascript">window.location.;</script>這個跳轉應該比htmlhead跳轉更向后延遲。各種跳轉包含關系服務端跳轉客戶端跳轉http跳轉應用層跳轉htmlhead跳轉htmljs跳轉各種跳轉介紹（一）服務端跳轉介紹：跳轉發(fā)生在服務器上，用戶不會有任何感覺。

優(yōu)點：跳轉行為在server進行，一次tcp連接完成相關操作，對用戶是透明的，不會造成疑惑。

缺點：對用戶隱藏了信息，跳轉行為都發(fā)生在server端，對server有壓力。（二）http跳轉介紹：跳轉發(fā)生在服務端發(fā)生數(shù)據給客戶端過程中，用戶能夠感覺到，并且狀態(tài)碼往往為302。

優(yōu)點：響應速度快，在http1.1協(xié)議下通過合適的設置可以使用同一個tcp連接，節(jié)省網絡時間，服務器及用戶端都不需要進行額外的數(shù)據處理工作，節(jié)省時間。

缺點：僅僅能做跳轉沒有其他功能，基于js及html的跳轉可以選擇延時跳轉，但是302無法選擇延時跳轉等。（三）htmlhead跳轉介紹：跳轉發(fā)生在服務端已經將數(shù)據傳輸?shù)娇蛻舳艘院?，用戶能夠感覺到。

優(yōu)點：跳轉方式靈活，可以指定延時跳轉等等

缺點：可能多次建立tcp連接，在低速網絡下效率更低，浪費客戶端的時間。（四）js跳轉介紹：跳轉發(fā)生在服務端已經將數(shù)據傳輸?shù)娇蛻舳艘院?，用戶能夠感覺到

優(yōu)點：跳轉方式靈活，可以指定延時跳轉等等

缺點：可能多次建立tcp連接，在低速網絡下效率更低，浪費客戶端的時間。黑帽SEO系列網頁劫持網頁劫持是目前黑帽SEO或者說黑產最喜歡的一種網頁引流方式，此手法往往通過入侵政府、教育機構網站（權重高），修改網站源代碼、放寄生蟲程序、設置二級目錄反向代理等實現(xiàn)。網頁劫持可以分為服務端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；表現(xiàn)形式可以是劫持跳轉，也可以是劫持呈現(xiàn)的網頁內容，目前被廣泛應用于私服、博彩等暴利行業(yè)。服務端劫持服務端劫持也稱為全局劫持，手法為修改網站動態(tài)語言文本，判斷訪問來源控制返回內容，從來達到網站劫持的目的。asp/aspx/php劫持Global.asa、Global.asax、conn.asp、conn.php等文件比較特殊，作用是在每次執(zhí)行一個動態(tài)腳本的時候，都會先加載該腳本，然后再執(zhí)行目標腳本。所以只要在Global.asa中寫判斷用戶系統(tǒng)信息的代碼（訪問來源等），如果是蜘蛛訪問則返回關鍵詞網頁（想要推廣的網站），如果是用戶訪問，則返回正常頁面?？蛻舳私俪挚蛻舳私俪值氖址ㄒ埠芏?，但主要就是2種：js劫持、Header劫持。js劫持js劫持目的：通過向目標網頁植入惡意js代碼，控制網站跳轉、隱藏頁面內容、窗口劫持等。

js植入手法：可以通過入侵服務器，直接寫入源代碼中；也可以寫在數(shù)據庫中，因為有些頁面會呈現(xiàn)數(shù)據庫內容。js劫持案例效果：通過搜索引擎搜索點擊頁面（執(zhí)行一段js）跳轉到博彩頁面；直接輸入網址訪問網頁，跳轉到404頁面。

代碼：1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}分析：通過referer判斷來路，如果referer來路為空就是跳轉到404頁面，如果是搜索引擎來的referer里面也會有顯示，然后在寫代碼控制跳轉。如果只是控制實現(xiàn)顯示不同的內容，可以修改php、asp代碼；如果需要劫持搜索引擎搜索框，可以寫JS代碼來做瀏覽器本地跳轉。當然js功能可以無限擴展，比如可以控制一個ip一天內第一次訪問正常，其余訪問跳轉等等。header劫持在源代碼中寫入以下代碼：1<metahttp-equiv=“refresh“content=“10;url=http://thief.one“>利用的就是MetaRefreshTag（自動轉向），將流量引走。手法對比客戶端劫持與服務端區(qū)別客戶端劫持：每次訪問網頁從服務端獲取到的網頁代碼都是相同的，只是控制了網頁代碼在瀏覽器中呈現(xiàn)的效果（比如是否進行跳轉等）。

服務端劫持：改變了每次訪問網頁從服務端獲取到的網頁代碼。客戶端劫持與服務端判斷方法客戶端劫持的判斷方法：只需觀察瀏覽器呈現(xiàn)的網頁前端代碼，查看是否引用了不當?shù)膉s，或者其它敏感內容。

服務端劫持的判斷方法：可以通過觀察網站后端代碼，或者通過改變ip，包頭等方式，觀察放回源碼是否不同。結語：網頁劫持的方法還有很多，我了解的大概只是皮毛，黑帽SEO技術的水很深，前路漫漫。黑帽SEO系列暗鏈暗鏈也稱為黑鏈，即隱蔽鏈接hiddenlinks，是黑帽SEO的作弊手法之一。在早期的SEO優(yōu)化中，黑鏈是最有效最迅速的方法之一；但是現(xiàn)在百度算法已經對iframe和display:none等直接進行了打擊，如果你對代碼沒有任何處理的話，那么你所做的外鏈將全部降權。因此，目前黑帽SEO技術中，暗鏈已經用得不多，但還是有必要了解下這個經典的作弊手法。掛暗鏈的目的很簡單，增加網站外鏈，提高網站排名；實現(xiàn)方式主要分為幾種：利用CSS實現(xiàn)、利用JS實現(xiàn)、利用DIV+JS實現(xiàn)，其他高級手法。利用CSS實現(xiàn)掛暗鏈display屬性將display屬性設置為none，則頁面上不顯示此內容。123<divstyle="display:none;"><ahref=http://thief.one/>暗鏈</a></div>分析：這種形式以前效果較好，現(xiàn)在不建議使用，易被搜索引擎察覺。color/font-size/line-height屬性將color顏色設置與頁面背景色一樣，大小設置為小于或等于1。1<ahref=http://thief.onestyle="color:#FFFFFF;font-size:1px;line-height:1px;">暗鏈</a>分析：最初級的隱蔽鏈接，易被搜索引擎察覺。position屬性將position位置屬性設置成負數(shù)，使內容位于頁面可見范圍以外。1<divstyle="position:absolute;top:-999px;left:-999px;"><ahref=http://thief.one>暗鏈</a></div>1<divstyle="position:absolute;left:expression_r(1-900);top:expression_r(3-999);"><ahref=http://thief.one>暗鏈</a></div>分析：以上2種寫法，都是將內容放到可見范圍以外，容易被搜索引擎識別。marquee屬性設置marquee滾動標簽屬性，使之快速閃現(xiàn)。1<marqueeheight=1width=5scrollamount=3000scrolldelay=20000><ahref=http://thief.one>暗鏈</a></marquee>分析：鏈接以賽馬燈形式迅速閃現(xiàn)，這種形式以前效果較好，現(xiàn)在不建議使用。利用JS實現(xiàn)掛暗鏈利用js向頁面中寫入css代碼，設置屬性。123456789<scriptlanguage="javascript"type="text/javascript">document.write("<divstyle='display:none;'>");</script><div><ahref=http://thief.one>暗鏈</a><scriptlanguage="javascript"type="text/javascript">document.write("</div>");</script>分析：js輸出前面提到的css代碼，到達一樣的效果。目前來說Google對這種js形式的代碼的內部實質意義還無法識別，但也不建議使用這種。利用DIV+JS實現(xiàn)掛暗鏈利用div與js功能，修改屬性。1234<divid="anlian"><a>隱蔽層：可以放暗鏈鏈接</div></div>分析：這種方式一般是放在Flash、圖片或者其它層對象下方。這個代碼是用父層相對定位，子層用絕對定位固定住以用來遮擋下面的隱蔽層內的暗鏈內容。結語：暗鏈不是什么新鮮的技術，但黑帽SEO始終在摸索前行，路漫漫其修遠兮！搜索引擎劫持案列分析搜索引擎是每個網站通往客戶最直接的方式，我相信大部分人訪問網站借助于搜索引擎。對于我來說，搜索引擎還有另外一項功能，查看網站的狀態(tài)（排名，收錄情況，安全性等）。

通常來說，每天我都會打開搜索引擎查詢網站的安全情況，今天也不例外，然而當我在查詢關于某個客戶網站的信息時，卻出現(xiàn)了一些奇怪的敏感內容：

某政府網站上出現(xiàn)了博彩相關內容（排除新聞頁面），這顯然是不合規(guī)的。排除管理員失誤添加導致，恐怕此網站多半是被黑客入侵了。抱著謹慎的態(tài)度，我決定深入研究一番。

首先我訪問了該記錄上的鏈接，緊接著瀏覽器中出現(xiàn)了一個正常的政府頁面，而也就須臾之間，網頁瞬間又跳轉到了博彩網頁。

圖一為正常政府頁面：

圖二為博彩頁面：

可以看到博彩頁面的域名為，顯然不是先前的政府網站域名?？吹酱爽F(xiàn)象，再結合多年安全經驗，我大致能夠猜測此網站應該是被搜索引擎劫持了。所謂搜索引擎劫持是目前黑帽SEO或者說黑產最喜歡的一種網頁引流方式，此手法往往通過入侵政府、教育機構網站（權重高），修改網站源代碼、放寄生蟲程序、設置二級目錄反向代理等實現(xiàn)。搜索引擎劫持可以分為服務端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；表現(xiàn)形式可以是劫持跳轉，也可以是劫持呈現(xiàn)的網頁內容，目前被廣泛應用于私服、博彩等暴利行業(yè)。

通過分析以上過程的數(shù)據包，我們不難發(fā)現(xiàn)，在該網站前端頁面被嵌入了一段非法代碼。

此代碼存放在1服務器上，查看該服務器信息，發(fā)現(xiàn)其在日本。

而通過訪問此段代碼，返回內容則是跳轉到網站上。

分析至此，我們不難發(fā)現(xiàn)，導致頁面跳轉的原因便是網頁被非法嵌入了一竄代碼，而此代碼能夠控制訪問該網頁時跳轉到博彩頁面。這是搜索引擎劫持最為基礎且常見的一種方式，其變種甚多，類型方式也各異，根據一段時間的調查學習我也總結了一些相關內容

當政府網站被掛博彩等敏感內容，其危害不言而喻。意識后問題嚴重性后，我立馬聯(lián)系了網站管理員，告知其詳細情況，并幫助其整改。我們必須明白，搜索引擎劫持不是漏洞，只是一種黑產的表現(xiàn)形式。因此想要解決搜索引擎劫持問題，首先要解決網站本身的安全問題。

細細回想一番，曾幾何時當我們通過搜索引擎打開一個正常網頁時，是否存在跳轉到其他非法頁面的情況。很有可能，那便是一個被搜索引擎劫持的網站，而當我們點擊鏈接的那一刻，便成為了黑色產業(yè)鏈的一部分，因為我們?yōu)槠鋷チ肆髁?。黑帽SEO剖析之手法篇黑帽seo概念SEO全稱為搜索引擎優(yōu)化，是指通過站內優(yōu)化、站外優(yōu)化等方式，提升搜索引擎收錄排名。既然有SEO技術，便會有相應的從業(yè)人員，他們被稱為白帽SEO，專指通過公正SEO手法，幫助提升站點排名的專業(yè)人員。

當然有白便會有黑，由于白帽SEO優(yōu)化的過程將會十分漫長，一個新站想要獲取好的排名，往往需要花上幾年時間做優(yōu)化推廣。因此一些想要快速提升自身網站排名的小伙伴，便開始在SEO上研究作弊手法，從而誕生了黑帽SEO。黑帽SEO是指通過作弊手段，讓站點快速提升排名的一類SEO技術，或者說是黑客技術，比如說：黑鏈（暗鏈）、站群、網站劫持（搜索引擎劫持）、橋頁等，黑帽SEO能夠快速提升排名，但畢竟是違規(guī)作弊行為，容易被K。SEO的一些黑色手法黑帽SEO的手法很多，并且在不斷地更新?lián)Q代，其中最常見的包括利用泛解析做站群，入侵高權重網站掛暗鏈，入侵高權重網站做網頁劫持，篡改高權重網站網頁內容，利用高權重網站二級目錄做推廣頁面，修改nginx配置做目錄反向代理等等。接下來我結合實際案例，介紹一些常用的手段。利用泛解析建立泛二級域名站群利用DNS泛解析可以快速建立站群，因為一個一級域名便可以衍生出無數(shù)個二級域名，當然一般需要借助站群工具，因為建立站群需要有很多內容不同的頁面，手工建立顯然不可能。而seo人員大費周章地建立站群的目的，便是能夠快速吸引大量的搜索引擎爬蟲，增加網站在搜索引擎中的收錄量。以下是某個泛二級域名站群案例截圖：

需要說明的是，以上截圖中的二級域名并不是通過一條條dns解析記錄去綁定的，解析里面設置的是*，也就是泛解析。而服務器端有程序或者代碼去控制當構造不同的二級域名訪問時，會返回不同的網頁內容，也就讓搜索引擎誤認為每個二級域名都是一個單獨的網站。

泛解析有很多優(yōu)點，比如對用戶友好（即使輸錯二級域名也能跳轉到目標網站），又能夠更快速地被搜索引擎收錄等?；谶@些優(yōu)點，很多站長會選擇用此方式來增加網站收錄，然而如果沒有妥善的使用泛解析可能會帶來難以想象的危害。利用泛解析做黑產利用泛解析做黑帽seo的方式也有很多種，基于是否需要入侵網站以及dns服務器，我分為入侵法與非入侵法來介紹。入侵法真實案例：幾個月前我們發(fā)現(xiàn)一個重要政府網站出現(xiàn)了大量博彩頁面，取證截圖如下：

經過分析我發(fā)現(xiàn)，此手法利用的便是泛解析，從截圖中可以看到出現(xiàn)了大量此政府網站的二級甚至三級域名，而這些域名都是隨機構造的，訪問后會跳轉到博彩色情等非法頁面，而訪問一級域名又是正常的內容。且先不分析跳轉的過程中用到了哪些技術，單從泛解析記錄就不難看出，此網站被人篡改了dns解析記錄。我們有理由相信，黑客獲取了此域名的dns解析控制權限，并將此域名泛解析到黑客準備好的服務器上。那么黑客這么做的目的很明顯，為了讓搜索引擎快速收錄二級或者三級域名，從而達到引流到非法頁面的目的。

我們通過分析此政府網站被入侵特征推導出此事件過程應該是，黑客通過入侵手段獲取到了該政府網站dns解析權限（如何獲取暫不可知），然后通過添加泛解析記錄，將此記錄指向黑客準備好的服務器，而此服務器上有動態(tài)語言去實現(xiàn)通過不同二級域名訪問，返回不同的頁面結果功能。由于政府網站本身權重很高，因此二級域名頁面被百度快速收錄，達到為非法頁面引流的目的。這種手法的好處在于不必入侵網站，而只要獲取到域名解析權限即可（當然獲取域名解析權限也并非易事）。非入侵法真實案例：幾天前我們發(fā)現(xiàn)有一個網站（）利用泛解析做惡意推廣，查看網站特征后，我們嘗試構造不同的二級域名訪問，取證截圖如下。

構造二級域名訪問：

最終返回結果：

可以看到返回結果對網頁內容以及url做了處理，當我們嘗試構造不同的二級域名訪問，發(fā)現(xiàn)返回結果內容都不一樣，然而通過獲取ip發(fā)現(xiàn)來自同一臺服務器。首先我們不難想到，此域名一定是做了泛解析的，那么它是如何控制網頁內容變化的呢？

查看網頁源碼可以看到網頁源碼被嵌入到了目標網頁中。

那么其實想要實現(xiàn)此技術也并不難，可以在服務端上用代碼實現(xiàn)。首先通過獲取請求的二級域名地址，然后去訪問該二級域名內容獲取源碼鑲嵌到自己的網頁內。如果構造的二級域名內容不是一個完整的域名地址（如：1.），則隨機返回一段源碼。這種手法的好處在于不必入侵網站，只需要自己搭建一臺服務器即可，但推廣效果沒有那么好。利用網站暗鏈在網頁中植入暗鏈這種手法已經相對落伍了，目前用的也比較少，因為搜索引擎已經能夠對此作弊手法進行檢測。為了介紹知識的完整性，此處我簡單介紹一下。暗鏈也稱為黑鏈，即隱蔽鏈接hiddenlinks，是黑帽SEO的作弊手法之一。掛暗鏈的目的很簡單，增加網站外鏈，提高網站排名；實現(xiàn)方式主要分為幾種：利用CSS實現(xiàn)、利用JS實現(xiàn)、利用DIV+JS實現(xiàn)等。

具體介紹請參考：黑帽SEO之暗鏈利用高權重網站，構造關鍵詞URL做推廣真實案例：一年前當我剛研究黑帽SEO的時候發(fā)現(xiàn)了一個有趣的黑帽SEO方式，雖然手法比較拙劣老套，但卻也有成效。于是在寫這篇文章的時候，我特意找了一個典型案例，與大家分享，取證截圖如下。

將URL中的參數(shù)內容顯示到網頁內，這原本是某些網頁的一種特殊功能。以往的經驗告訴我這種特性如果沒有處理好，可能會引發(fā)XSS漏洞，而今我不得不認識到，這種特性也一直被用于黑帽seo。通過在url或者post數(shù)據包（常見于搜索框功能）中構造推廣關鍵詞，再將有推廣關鍵詞頁面添加到蜘蛛池中，使搜索引擎收錄就能達到推廣的目的。一般此種手法常被用來推廣qq號，盈利網站等（類似打廣告），而當我們通過搜索引擎搜索某些關鍵詞時（如色情資源），就會顯示出此頁面，從而達到推廣自身賬號或者網站的目的，當然這只是一種推廣手段，并不太涉及引流。利用網頁劫持引流網頁劫持，又叫網站劫持或者搜索引擎劫持，是目前黑帽SEO中最流行的一種做法。其原因可以簡單概括為：易收錄、難發(fā)現(xiàn)，易收錄表現(xiàn)為搜索引擎尚沒有很好的機制能夠檢測出此作弊手段，網頁劫持手法仍然能夠大量引流。難發(fā)現(xiàn)是指網頁劫持手法比較隱蔽，一般非技術人員很難發(fā)現(xiàn)它的存在。

網頁劫持從手法上可以分為服務端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；

網頁劫持的表現(xiàn)形式可以是劫持跳轉，也可以是劫持呈現(xiàn)的網頁內容（與直接篡改網頁內容不同），目前被廣泛應用于私服、博彩等暴利行業(yè)。網頁劫持真實案例

幾個月前我處理了一起網頁劫持案列，起因是某政府網站上出現(xiàn)了博彩相關內容（排除新聞頁面），這顯然是不合規(guī)的。排除管理員失誤添加導致，恐怕此網站多半是被黑客入侵了。首先我訪問了該記錄上的鏈接，緊接著瀏覽器中出現(xiàn)了一個正常的政府頁面，而也就須臾之間，網頁瞬間又跳轉到了博彩網頁。

圖一為正常政府頁面：

圖二為博彩頁面：

可以看到博彩頁面的域名為，顯然不是先前的政府網站域名?？吹酱爽F(xiàn)象，再結合多年安全經驗，我大致能夠猜測此網站應該是被網頁劫持了。通過分析以上過程的數(shù)據包，不難發(fā)現(xiàn)在該網站前端頁面被嵌入了一段非法代碼。

此代碼存放在1服務器上，查看該服務器信息，發(fā)現(xiàn)其在日本。

而通過訪問此段代碼，返回內容則是跳轉到網站上。

分析至此，我們不難發(fā)現(xiàn)，導致頁面跳轉的原因便是網頁被非法嵌入了一竄代碼，而此代碼能夠控制訪問該網頁時跳轉到博彩頁面。這是搜索引擎劫持最為基礎且常見的一種方式，其變種甚多，類型方式也各異。最后我通過登錄web服務器查看，發(fā)現(xiàn)了存在大量html文件被篡改，且都在文件開頭被寫入外部js引用。那么此入侵事件過程應該是，黑客通過web應用程序某些漏洞入侵服務器（實際是管理后臺弱口令+任意文件上傳），通過批量篡改服務器靜態(tài)文件實現(xiàn)網頁劫持的目的。網頁劫持的手法非常多，并不是這一個案例就能概括的，更多詳細情況請繼續(xù)看下文介紹。服務端劫持服務端劫持也稱為全局劫持，此手法為修改網站動態(tài)語言文件，判斷訪問來源控制返回內容，從而達到網頁劫持的目的。其特點往往是通過修改asp/aspx/php等后綴名文件，達到動態(tài)呈現(xiàn)網頁內容的效果。

Global.asa、Global.asax、conn.asp、conn.php等文件比較特殊，作用是在每次執(zhí)行一個動態(tài)腳本的時候，都會先加載該腳本，然后再執(zhí)行目標腳本。所以只要在Global.asa中寫判斷用戶系統(tǒng)信息的代碼（訪問來源等），如果是蜘蛛訪問則返回關鍵詞網頁（想要推廣的網站），如果是用戶訪問則返回正常頁面?？蛻舳私俪挚蛻舳私俪值氖址ㄒ埠芏?，但最常用的就兩種：js劫持與Header劫持。js劫持目的是通過向目標網頁植入惡意js代碼，控制網站跳轉、隱藏頁面內容、窗口劫持等。js植入手法是可以通過入侵服務器，直接寫入源代碼中；也可以寫在數(shù)據庫中，因為有些頁面會呈現(xiàn)數(shù)據庫內容。js劫持代碼案例：

以下代碼可以使通過搜索引擎搜索的并點擊頁面時，執(zhí)行一段js并跳轉到博彩頁面；而直接輸入網址訪問網頁時，跳轉到一個404頁面。1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}代碼分析：通過referer判斷來路，如果referer來路為空就是跳轉到404頁面，如果是搜索引擎來的referer里面也會有顯示，然后在寫代碼控制跳轉。如果只是控制實現(xiàn)顯示不同的內容，可以修改php、asp代碼；如果需要劫持搜索引擎搜索框，可以寫JS代碼來做瀏覽器本地跳轉。當然js功能可以無限擴展，比如可以控制一個ip一天內第一次訪問正常，其余訪問跳轉等等。header劫持，就是在html代碼的head中添加特殊標簽，代碼如下：1<metahttp-equiv="refresh"content="10;url=http://thief.one">header劫持利用的就是MetaRefreshTag（自動轉向）功能將流量引走。直接篡改網頁內容（比較低級）有些黑客在入侵網站后，喜歡直接篡改網頁內容，比如放上自己的qq號，或者作為推廣將網頁篡改成非法頁面。在此我對此做法的黑客表示鄙視，因為這是一種最惡劣最低級的手法。惡劣在于直接篡改網頁內容，可能會導致網站無法挽回的損失；低級在于此手法極易被發(fā)現(xiàn)，起不到真正的引流推廣作用。利用高權重網站二級目錄即黑客入侵網站后，在網站二級目錄下創(chuàng)建很多自己做推廣的頁面。為了達到引流的目的黑客往往需要建立大量的二級目錄頁面，因此需要用到寄生蟲程序來自動化的創(chuàng)建頁面。此手法也需要入侵高權重網站，獲取網站服務器權限。與網頁劫持手法不同的是，此手法側重點在于利用高權重網站自身的優(yōu)勢，在其目錄下創(chuàng)建多個推廣頁面；而網頁劫持側重隱藏自身，其可以做到動態(tài)呈現(xiàn)網頁內容給客戶。因此在實際使用中，黑客經常結合兩者使用。此手法與利用泛解析做黑帽seo的手法還是有明顯差異的，雖然同樣是利用高權重網站本身的優(yōu)勢，但泛解析利用的是二級域名，而此手法利用的是二級目錄，當然兩者有異曲同工之妙。

利用高權重網站二級目錄手法的案例與泛解析案例類似，這里不再詳述。既然我前面提到此手法往往需要寄生蟲程序的配合使用，那么我們來看看，何為寄生蟲程序？它又有何玄機？黑帽SEO剖析之工具篇寄生蟲（jsc)植入寄生蟲是黑帽SEO常用的一種方法，通過侵入別人網站，植入寄生蟲程序，自動生成各種非法頁面。之所以叫做寄生蟲是因為能夠自己觸發(fā)生成，而不是一次生成，例如在訪問網頁的時候觸發(fā)，自動生成頁面且形成鏈輪等。簡單來說，寄生蟲是一種程序，此程序的功能是能夠自己創(chuàng)建網頁文件，而創(chuàng)建的條件可以定制，比如說當有人訪問某個頁面時就會觸發(fā)寄生蟲程序生成一批新的網頁文件，或者每天定時創(chuàng)建等等。

我曾經在給一個客戶處理應急響應事件時，便遇到過此類狀況。每當我清理完所有惡意網頁文件后，服務器上都會不時地自動生成一大批新的網頁文件。令人頭疼的是，當時我完全掌握不了生成新文件的規(guī)律。后來我們在一一排除web服務器上的文件時，發(fā)現(xiàn)了其中一個惡意的動態(tài)語言文件（由于種種原因，樣本沒有保留下來），此惡意文件就是類似寄生蟲程序，會在我們訪問此網站的某個頁面觸發(fā)，生成一批新的惡意頁面。寄生蟲分類寄生蟲分為動態(tài)與靜態(tài)，動態(tài)寄生蟲程序的就是會不斷自動生成新的頁面（如我上面所述案例），或者是刷新頁面以后自動變化內容，動態(tài)寄生蟲生成的惡意文件往往是asp/php后綴文件；而靜態(tài)寄生蟲程序生成的頁面往往都是固定不變的內容，大多為html后綴文件。寄生蟲模板寄生蟲程序生成的頁面往往都是有固定模板的，模板的好壞有時也決定了是否能夠被搜索引擎快速收錄，以下是我收集的兩種寄生蟲程序生成的模板頁面。

寄生蟲模板案例一：

寄生蟲模板案例二：

靜態(tài)寄生蟲掛二級目錄案例案例來自去年處理的一起入侵檢測事件，我們發(fā)現(xiàn)目標網站上被掛了非法推廣頁面，如下圖所示：

通過登錄web服務器查看，我們發(fā)現(xiàn)了網站根目錄下多了一個二級目錄ds，而ds目錄內放滿了html文件，都是通過寄生蟲生成的。（由于時間久遠，html樣本文件已丟失）

通過登錄服務器日志分析，我們最終發(fā)現(xiàn)黑客是通過web應用程序漏洞獲取到了服務器權限，并在該服務器上利用靜態(tài)寄生蟲程序創(chuàng)建了大量惡意的html后綴文件，并存放在ds目錄下，其利用的便是高權重網站二級目錄手法。以上占用大量篇幅介紹了很多黑帽seo的手法，也介紹了寄生蟲程序這一自動生成網頁文件的利器。那么黑帽seo是如何讓這些非法頁面快速被搜索引擎收錄的呢？我們知道如果這些惡意推廣的頁面無法被搜索引擎收錄，那么黑帽SEO就達不到預期的效果。起初在研究黑帽seo時我也一直在思考這個問題，按常理搜索引擎不應該會收錄具有惡意內容的推廣頁面，而事實是目前我們隨便在百度上搜site:.博彩或者site:.色情，就會出現(xiàn)一大批被掛上博彩色情的政府教育機構網站。顯然這些頁面目前還是能夠很好地被搜索引擎收錄，甚至能很快被收錄，我曾經發(fā)現(xiàn)過幾分鐘內被收錄的惡意頁面。那么是搜索引擎故意為之，還是有人利用了搜索引擎的某些特征或者說漏洞？要理解這個問題，我想必須得介紹一下黑帽SEO又一大利器—蜘蛛池。蜘蛛池蜘蛛池是一種通過利用大型平臺權重來獲得搜索引擎收錄以及排名的一種程序。原理可以理解為事先創(chuàng)建了一些站群，獲?。ɑ筐B(yǎng)）了大量搜索引擎蜘蛛。當想要推廣一個新的站點時，只需要將該站點以外鏈的形式添加到站群中，就能吸引蜘蛛爬取收錄。簡單來說就是通過購買大量域名，租用大量服務器，批量搭建網站形成站群。而這些網站彼此之間形成鏈輪，網站內容大多為超鏈接，或者一些動態(tài)的新聞內容等。經過一段時間的運營，此站群每天就能吸引一定量的搜索引擎蜘蛛，蜘蛛的多少要看網站內容搭建的好壞以及域名的個數(shù)。當蜘蛛數(shù)量達到一個量級且穩(wěn)定以后，就可以往里面添加想要推廣的網頁，比如通過黑帽SEO手段創(chuàng)建的非法頁面。這一過程就好比在一個高權重網站上添加友情鏈接，會達到快速收錄的目的。蜘蛛池交易平臺我隨便百度了一下，發(fā)現(xiàn)互聯(lián)網上存在很多蜘蛛池交易平臺，即可通過互聯(lián)網上的蜘蛛池推廣惡意網頁。這種方式省去了自己搭建蜘蛛池的麻煩，卻也為黑帽seo人員提供了便利。在收集資料時，我挑選了其中一個交易平臺，截圖如下：

蜘蛛池站點案例在為本篇文章收集黑帽SEO相關資料時，我發(fā)現(xiàn)了一款經典的蜘蛛池站點，在此分享。

其特點是內容動態(tài)生成，刷新頁面發(fā)現(xiàn)內容隨機改變

很明顯此網站內容都是通過動態(tài)寄生蟲程序生成的，且不斷變化內容來增加百度對其收錄。（百度目前對原創(chuàng)內容的收錄率比較高）幾大搜索引擎收錄情況百度搜索引擎收錄情況：

谷歌搜索引擎收錄情況：

bing搜索引擎收錄情況：

搜狗搜索引擎收錄情況：

通過對比幾大常用搜索引擎對此蜘蛛池站點的收錄情況，我們不難看出這套蜘蛛池程序目前只對百度搜索引擎爬蟲有效。當然78條的收錄量對于一個蜘蛛池站點來說不算很高，說明百度對此手段已有所防范黑帽SEO剖析之隱身篇隱身的技術在處理的一些入侵應急響應事件中，我們發(fā)現(xiàn)有些網站被掛惡意頁面達數(shù)月甚至數(shù)年之久，而在此期間管理員竟然毫無察覺。有時這并非是管理員的粗心大意，而是黑客過于狡猾。在了解了我之前所介紹的網頁劫持手段后，我想你大概能了解這其中的緣由了，網頁劫持能控制跳轉控制頁面呈現(xiàn)的內容，這便是難以被管理員發(fā)現(xiàn)的主要原因。除此之外，寄生蟲程序能夠自動生成網頁也使得其生存能力很強，不易被根除。其次我們在發(fā)現(xiàn)網站被掛惡意網頁后，通常會登錄服務器進行查看，而有時我們很難找到被非法篡改或者被惡意植入的腳本文件，因為此類型文件被黑客精心地隱藏了起來。那么除了上述手段之外，黑客還有哪些手段來隱藏自身，使之生生不滅？網頁劫持控制跳轉網頁劫持中的控制跳轉就是為了隱藏網站已被入侵的事實，讓網站管理員不容易發(fā)現(xiàn)。nginx二級目錄反向代理技術通過配置nginx/apache等中間件配置文件設置目錄代理，將服務器上某個目錄代理到自己搭建服務器上的某個目錄。即瀏覽者在打開thief.one/2016/目錄時，實際訪問到的資源是自己服務器上的某個目錄（目標服務器會去自己服務器上拿數(shù)據）。這種手法不需要修改目標服務器網站源碼，只需要修改中間件配置文件，不易被刪除也不易被發(fā)現(xiàn)。隱藏文件給文件設置屬性隱藏。我曾經遇到過此類事件，當時我們一個技術人員通過肉眼選擇了服務器上一批web目錄下的文件進行copy。而當我們對這些文件進行掃描時，并未發(fā)現(xiàn)任何異常，一切都變得匪夷所思。而最后的結果讓我們哭笑不得，原來惡意文件被設置成了屬性隱藏，通過肉眼觀察的技術人員并沒有將此文件copy下來，因此這也算是一種有效的障眼法。不死文件不死文件指的是刪除不了的webshell或者是非法頁面文件（.html或者動態(tài)文件），此類事件在實際中沒有遇到過，但理論上確實可行。設置畸形目錄目錄名中存在一個或多個.(點、英文句號)1mda..\該目錄無法被手工刪除，當然命令行可以刪除1rd/s/qa..\特殊文件名其實是系統(tǒng)設備名，這是Windows系統(tǒng)保留的文件名，普通方法無法訪問，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt、aux.txt，aux.pa