「诸暨seo服务」针对某电商网站流量劫持案例分析与思考

作者: 少校seo 分类: 黑帽seo资讯 发布时间: 2019-11-07 12:02

由于腾讯与JD.com建立了战略合作关系,作者更喜欢JD.com的网上购物。一天,当我在家访问JD.com的主页时,我突然惊讶地发现我的浏览器跳到了一个第三方网站,然后又回到了JD.com。我的第一反应是击中特洛伊木马。

服务器返回的代码导致跳转,这基本上可以消除本地木马。据推测,问题出在网络或服务器上。根据作者的经验,这种情况很可能是对链路的交通劫持攻击。当然,不能排除JD.com服务器被黑客攻击的可能性。

从Wireshark的结果可以看出,网络上出现了来自JD.com的两个超文本链接协议。首先是第一个,所以浏览器中的JavaScript代码转到了。第二个HTTP响应由于延迟到达而被系统忽略(Wireshark认为它有问题)。

第一个包的TTL值为252,第二个包的TTL值为56,而JD.com服务器在之前的TCP三次握手中的TTL值为56,因此可以判断第一个包是伪造的,真正的包到达较晚,被系统忽略。

伪造数据包的TTL值是252,这意味着它的原始TTL值应该是255(对于大于252的系统,默认TTL值只能是255,一般不会修改),表明攻击者的设备离我有三条路由。然而,京东正常的HTTP响应的TTL值是56,由8条路由隔开。实际上,假设备离我很近,所以假的超文本传输协议响应将首先到达——更有趣的是,作者发现假的包到达得太晚,不会导致劫持失败。

据推测,当旁路设备发现请求JD.com主页的请求时,它会监听所有数据包,并立即返回定制的HTTP响应。总攻击图如下。

当时,笔者推测攻击者在链接上的激烈战斗中不会只针对一个网站,于是他访问了夏伊勋、淘宝、天猫等电子商务网站,发现伊勋也遭到了同样的攻击。这一流量劫持的目的似乎是将来自电子商务网站的流量导向返利联盟,返利联盟可以通过返利联盟获得当前用户交易金额的返利。

基本上确认运营商存在问题,但无法确认运营商的官方意图是否是故意的,是否受到黑客攻击,或者是否是内部人员秘密实施的。

根据初始TTL值255,在252,该数据包到达本地计算机,并且估计已经通过了3条(255-252)路由。问题出在四号线附近,也就是119.145.220.86(属于深圳电信)。

当然,虽然可以基本上确认问题在第四条路由附近(作者抓取数据包几天,伪造的HTTP响应数据包TTL值一直是252),但并不排除设备故意构造初始TTL值(例如,设置为254)来增加跟踪的难度。为了严格进行学术研究,避免被攻击者混淆,证据必须得到证实。

位置相对简单。因为攻击设备绕过了拦截数据包,所以可以假定它是基于数据包而不是状态黑帽seo。我们构造截取的数据包(即,我们直接发送访问JD.com主页的请求数据包,无需三次握手),并多次发送。TTL值从1增加,以准确地将数据包传送到每条路径,直到出现伪造的响应——在没有问题的位置将没有响应,而出现伪造响应的第一个位置是出现问题的位置。

此时,您需要一个数据包构建工具来劫持seo流量,无论是基于Python的Scapy还是基于窗口的XCAP。

一天后,经营者回答说:“经过验证,深圳没有在当地推销产品。经过网上查询,木马或病毒会造成这种现象。如果电信网络中没有问题,请在测试前消毒。谢谢你。”

链接劫持对企业和用户来说都是非常麻烦的,会影响用户体验并泄露敏感信息。它在地理上也很分散,相对来说很难发现和防御。

一些人已经完美地使用了链接劫持。例如,业界最近发现,百度联盟在一些领域的广告脚本中植入了恶意的JavaScript,用DDoS攻击GitHub。

腾讯在历史上也遭遇过多次链接劫持攻击,目的很强。其中大多数是广告(少数是网络钓鱼和挂马)。攻击是多种多样的。有运营商的区域性域名劫持和链接劫持,运营商域名服务器的缓存中毒攻击(使用CVE-2007-2926,非常经典),开发者在路由软件中植入的劫持代码,对CDN和源通信的ARP攻击,以及用户电脑本地的特洛伊木马。当然,所有这些都已经解决,并且正在不断受到监测。

蜘蛛劫持等黑帽seo的常见手法及解决办法

我写这篇文章,准备让那些真正的“大师”开怀大笑,因为我对黑猫seo一无所知,更不知道具体的操作方法,所以下面的文字难免有很多猜想和联想。此外,对每个人说这些事情绝对不是让我们模仿,而是如何预防。

深入了解这一点,原因是我的车站被封锁了。最近,网站流量下降了50%,直到昨天我在网站上才找到原因,我感到震惊和愤怒。许多快照都加载了当前时间和颜色的内容,但是当页面打开时,会显示原始网页,检查源代码,并且没有发现任何问题。我最后知道的是这是蜘蛛劫持。

蜘蛛劫持原则:通过相关入侵软件(如WebShell)扫描流量相当大的网站收集到的漏洞,获取权限,在服务器中植入木马程序或在网页代码中添加劫持代码,然后根据网站访问者的性质给出不同的页面或请求,例如正常用户会返回到原始页面,当他们是蜘蛛程序时,他们会给出已经被篡改的页面。

简单的理解是为普通用户和蜘蛛返回不同的页面或请求。

蜘蛛劫持在黑猫领域的应用:

1.劫持交通

性能:当用户直接在浏览器中输入域名时,主页正常显示,点击其他页面也是正常的。查看源代码是正常的。您可以在搜索结果页面上打开该网站的页面,并直接跳转到其他网站。单击搜索结果页面的快照也是原始页面的快照。

2.快照劫持(损坏或添加外部链)

性能:当用户在浏览器中打开或搜索结果页面打开时,返回的页面都是原始页面。我们通常不会发现什么异常,但只要看一下快照就会发现一些可疑的东西。我们修改了快照。一般来说,粗心的网站管理员根本找不到它。如果你使用百度站长平台的抓取测试或站长工具的模拟抓取,返回的源代码将不同于页面前的源代码。

3.判断区域劫持流程

在以上两个应用程序中,第一个很容易被网站管理员发现,第二个没有太多的利益驱动,所以第三个应用程序是“专家”常用的劫持方法。

性能:根据网站的后台登录ip记录判断网站管理员所属的区域。除了这个区域,点击跳转到搜索结果页面,这样网站管理员在这个区域搜索或查看快照时几乎看不到任何异常,但是其他区域的搜索流量已经被转移。

蜘蛛劫持对黑帽袭击者的影响

1.跳转被劫持的流量到灰色行业黑帽seo,如SI服装,DUBO,淘宝客人等。

2.在一些高权重网站上放置外部链接,以增加自己网站的权重

3.摧毁竞争对手的网站

如何防止蜘蛛劫持

1、做好服务器(空间)安全保护,降低服务器(空间)权限,权限越小,安全性越大。不管空间提供商有多好,它都是无用的,只能靠自己。

2.监控网站的每个索引。如果发现异常,请检查搜索引擎的快照内容,或者在网站管理员工具中进行页面模拟抓取,查看是否有异常,或者让其他省市地区的朋友点击搜索结果页面上的网站页面,查看是否有跳转。

被蜘蛛劫持后如何解决

这将根据另一方的劫持方法进行操作。首先,它需要确定它是嵌入的特洛伊木马程序还是添加到网站页面的劫持代码。首先是用杀毒软件扫描。据我所知,目前的蜘蛛劫持代码或程序,以及反病毒软件都是无用的。

1.使用百度网站管理员平台的抓取测试来模拟抓取问题页面,看看返回的源代码中是否有异常的执行代码,如果有,就删除它。

2.如果劫持代码没有添加到页面中,请在服务器网站的根目录下搜索奇怪的文件。根据最新的修改时间,进行一点调查。如果找不到,请复制并传输网站所在的所有驱动器号文件,格式化驱动器号(有时格式化失败),然后传输文件。

3.问题解决后,请重新安装系统,降低权限,并做最强的安全保护工作。问题解决后,建议下载最强版本的webshell来扫描网站的漏洞,然后一点一点地进行修补。

昨天,该网站发现这是蜘蛛劫持,这是治愈疾病的绝望尝试,互联网上没有可靠的解决方案。写下这篇文章劫持seo流量,只是为了让后来者在遇到问题后至少有一个参考,也期望相关搜索引擎对这种作弊方法有相应的对策。