您现在的位置: > 电脑硬件 > 其他 >

真实网站劫持案例分析

时间:2019-04-09 06:09 点击:

  核心提示:*本文原创作者:feiniao,属于FreeBuf原创奖励计划,禁止转载。1. 概述上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被...

上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透,只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例,案例主要分享一下思路。

1.1 原理

网站劫持是一个相对古老的技术,主要是黑帽用来做SEO用。实现网站劫持如果以下步骤:

1. 入侵相关网站 2. 然后在网站中插入JS或修改其配置文件,增加相应的劫持代码。另外一般会加入判断条件,判断条件一般会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工,如果是人工会返回正常的网站;如果是爬虫,会返回相关博彩、娱乐类等黑客设置好的网站 3. 人工访问时,会显示正常网站。但是爬虫去访问时,返回是相关博彩、娱乐类网站,导致收录的却是黑客精心准备好的网站 4. 黑帽SEO基本上都是给爬虫收录的,对于正常的人工访问会返回正常的内容,所以导致这种网站很难发现、并且其存留时间相对较长 1.2 跳转判断

下面通过在实际工作中遇到的JS脚本来阐述JS劫持来实现跳转的方法。该JS脚本综合运用了判断IP归属地、UA、referer来进行跳转判断。

1.2.1 判断IP归属地

判断远程IP的归属地,如果远程IP为安徽省或北京,则会直接跳转到这个页面;归属地不为安徽或北京的话则会跳转到博彩站点

var jump_myt = setInterval(function(){ if(remote_ip_info) { clearInterval(jump_myt); if(remote_ip_info.province == '安徽' ||remote_ip_info.province == '\u5b89\u5fbd'||remote_ip_info.city =='\u5317\u4eac'||remote_ip_info.city == '北京') { window.location.href= 'http://www.anhui365.net/404.html'; } else{ window.location= 'http://m.an888.top/'; } } 1.2.2 判断referer

若referer关键字为:baidu、google、yahoo、bing、soso、360等搜索引擎爬虫,当爬虫去访问时会调用browserRedirect()函数。browserRedirect()函数主要用来实现跳转判断。

function go_bots_url(){ var init_flag ="93989", bct =document.referrer, bot =['baidu', 'google', 'yahoo', 'bing', 'soso', 'sogou', '360.cn', 'so.com','youdao', 'anquan', 'sm.cn', 'haosou']; for (var iin bot) { if(bct.indexOf(bot[i]) != -1) { init_flag= "1245"; browserRedirect(); } } if(init_flag== "93989"){ call_init_error(); }

1.2.3 判断user-agent

如果相应的user-agent匹配关键字ipad、iphone os、midp、ucweb、android等移动端设备时则会跳转到这个博彩站点

function browserRedirect() { var sUserAgent=navigator.userAgent.toLowerCase(); var bIsIpad=sUserAgent.match(/ipad/i) == "ipad"; varbIsIphoneOs= sUserAgent.match(/iphone os/i) == "iphone os"; var bIsMidp=sUserAgent.match(/midp/i) == "midp"; var bIsUc7=sUserAgent.match(/rv:1.2.3.4/i) == "rv:1.2.3.4"; var bIsUc=sUserAgent.match(/ucweb/i) == "ucweb"; var bIsAndroid=sUserAgent.match(/android/i) == "android"; var bIsCE=sUserAgent.match(/windows ce/i) == "windows ce"; var bIsWM=sUserAgent.match(/windows mobile/i) == "windows mobile"; if (bIsIpad ||bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) { window.location.href='http://m.an888.top/'; } else { window.location='http://m.an888.top/'; } }

这是一个比较经典的JS判断条件,综合判断IP地址、user-agent、referer。黑客入侵相应的网站后只需要把在网站中加入引用的JS相关网站即可,一般都是直接在相关调用页面,如index.php这种页面中直接插入下面的代码

1.3 表现

当网站被黑客入侵并作为SEO使用时,一般的表现是通过人工访问并无法直接打开,需要通过改变浏览器的user-agent及referer时才可以重现相应的劫持页面。页面被劫持一般表现是下面这样子的:

真实网站劫持案例分析

劫持案例-1(植入寄生虫程序)

真实网站劫持案例分析

劫持案例-2(插入推广内容)

真实网站劫持案例分析

劫持案例-3(打开页面跳转到博彩网站)

2. 前端劫持案例 2.1 原理

前端劫持一般都是在网站的相应页面中插入JS脚本,通过JS来进行跳转劫持。

2.2 表现与检测

前端劫持的话浏览器会执行相应的JS脚本,因此我们可以通过抓包来进行检测相应的JS脚本。可以使用burpsuite、fiddler、wireshark等工具来抓包进行分析与检测。另外也可以打开相应的页面分析其源码来进行判断,通过源码找出所有加载的JS脚本,然后再对JS脚本进行分析。

2.3 案例

一网站发现其打开时会跳转到博彩网站,对其源码进行分析,发现其页面被插入一段JS代码,导致其打开时会跳转到博彩站点。

真实网站劫持案例分析

3. 服务器端劫持案例 3.1 原理

服务器端劫持也称为后端劫持,其是通过修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种文件。这些文件是动态脚本每次加载时都会加载的配置文件,如访问x.php时会加载conn.php。这样的话,只需要修改这些全局的动态脚本文件(如global.asax),访问所有的aspx文件时都会加载这个global.asax文件,可以达到全局劫持的效果。

3.2 表现与检测

因为这种文件是在服务器上执行的,因此不像前端劫持那样可以分析加载的恶意JS脚本。其需要在服务器上进行分析。一般检测都是要检测全局脚本文件,分析其是否被恶意修改。这种文件一般情况下不会经常修改,因此可以使用文件完整性进行检测。初次配置好了以后生成其MD5或HASH值,并且周期性对比其MD5值是否变化。若变化则进行变化内容的分析与检测。

3.3 案例

发现一政府网站上存在较多博彩类链接。但是对其源码与抓包分析,都没发现可疑JS脚本。这样的话肯定是在服务器端做劫持的。

真实网站劫持案例分析

于是远程连接其服务器,其网站使用aspx开发,找到其aspx全局加载的文件global.asax。分析其源码,发现存在被修改,增加了爬虫判断条件,若为爬虫访问,则直接跳转到相应的博彩网站。

真实网站劫持案例分析

作者:采集侠  来源:网络整理
  • 电脑维修知识网(xxxxxx.com) © 2014 版权所有 All Rights Reserved.
  • Email:pcweixiu@tom.com 站长QQ:20567788
  • 技术支持与报障: 电脑维修知识网