黑帽SEO技术鬼手经典之作,逆向分析一个被菠菜沦陷的正规站

直接入正题,贴上被入侵网站index.html里面head头部代码。

被入侵网站头部代码分析

我们看title标题部分,代码如下:

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

是不是看不懂。这个代码是Unicode编码的,我们用工具把Unicode编码成中文看下。

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

顺便把keywords关键词和description描述的Unicode编码转码一下吧。

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

现在看得懂鸟语了吧!
接下来继续看代码。
来了一个JS。
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂"}</script>

这个JS是判断来路的,如果不是百度来的就显示“超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”。如果是的那就显示Unicode编码转码的

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

下面还是JS。

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

把网址复制到浏览器打开显示如下。

黑帽JS劫持代码分析

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

其实是一段JS,JS下面又有一个网址https://pv.sohu.com/cityjson?ie=utf-8,复制到浏览器中打开显示如下。

判断来路地区代码

终于有点眉目了。他自己的网站报毒于是生成一个短网址来欺骗搜索引擎,变成一个百度认可的短网址。这个网页中是执行一条JS,用来判断IP地区来路的。我是在东莞的IP,显示是广东省东莞市,如果你是其他地方他会显示其他地方。所以看到以上图片可能和你实际验证的时候有地域差别。这个判断来路的JS其实是搜狐提供的,他调用了。

接下来是这句代码<script>var sf=returnCitySN["cname"]; if(sf.indexOf("广东省")>=0){window.location.href="/indax.html";}</script>

这个代码的意思是如果你的IP是广东省的那么页面直接跳转到indax.html,不是的直接运行下面的代码。

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

又是一个JS,把网址复制到浏览器中查看。

提交百度360搜索JS代码

这又是通过短段码伪装成信任网站的危险网站的JS,里面是百度和360推送的网址。目的就是发挥它的余热,临走之前再推送一次百度和360,并做了标记识别,知道是哪个网址来的。

注意:此处内容需在下方成功“评论回复”后“刷新本页”方可查看!文明留言评论,恶意留言直接进入黑名单!

?88是他的识别码,黑客自己设置的有一定对应关系的,用来统计来源的。下面的代码就没什么了的了。

简单总结一下。

1、此代码具有2重隐蔽性。第一重:正常直接访问不跳转,伪装成正常网站的标题。第二重:你是广东IP访问直接跳转到indax.html,这个是正常网页。如果站长是在广东,你根本发现不了,就算你是通过百度搜索去点击。

2、代码加入了地区判断验证和一般的有点区别。

3、代码用短网址过滤风险提示。

4、代码用Unicode编码来伪装自己。

5、代码进行了百度和360推送。

6、跳转加入了随机跳转,但写的网站都是同一个。

7、不足之处只做了百度来路的,其他搜索引擎的没做。

黑帽劫持JS代码打包下载地址链接:

许望上此处内容已经被作者隐藏,请输入验证码查看内容
验证码:
请关注本站微信公众号,回复“黑帽SEO培训大神”,获取验证码。在微信里搜索“许望上”或者“a1027104365”或者微信扫描右侧二维码都可以关注本站微信公众号。

注:以上代码过于简单粗暴,伪装的不够隐蔽,可以参看下面推荐阅读文章,自行加密处理。

 

推荐阅读:

仅从黑帽SEO技术研究!黑帽变黑产,暗流涌动,瞬间起飞了