直接入正题,贴上被入侵网站index.html里面head头部代码。
我们看title标题部分,代码如下:
是不是看不懂。这个代码是Unicode编码的,我们用工具把Unicode编码成中文看下。
顺便把keywords关键词和description描述的Unicode编码转码一下吧。
现在看得懂鸟语了吧!
接下来继续看代码。
来了一个JS。
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂"}</script>
这个JS是判断来路的,如果不是百度来的就显示“超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”。如果是的那就显示Unicode编码转码的
下面还是JS。
把网址复制到浏览器打开显示如下。
其实是一段JS,JS下面又有一个网址https://pv.sohu.com/cityjson?ie=utf-8,复制到浏览器中打开显示如下。
终于有点眉目了。他自己的网站报毒于是生成一个短网址来欺骗搜索引擎,变成一个百度认可的短网址。这个网页中是执行一条JS,用来判断IP地区来路的。我是在东莞的IP,显示是广东省东莞市,如果你是其他地方他会显示其他地方。所以看到以上图片可能和你实际验证的时候有地域差别。这个判断来路的JS其实是搜狐提供的,他调用了。
接下来是这句代码<script>var sf=returnCitySN["cname"]; if(sf.indexOf("广东省")>=0){window.location.href="/indax.html";}</script>
这个代码的意思是如果你的IP是广东省的那么页面直接跳转到indax.html,不是的直接运行下面的代码。
又是一个JS,把网址复制到浏览器中查看。
这又是通过短段码伪装成信任网站的危险网站的JS,里面是百度和360推送的网址。目的就是发挥它的余热,临走之前再推送一次百度和360,并做了标记识别,知道是哪个网址来的。
?88是他的识别码,黑客自己设置的有一定对应关系的,用来统计来源的。下面的代码就没什么了的了。
简单总结一下。
1、此代码具有2重隐蔽性。第一重:正常直接访问不跳转,伪装成正常网站的标题。第二重:你是广东IP访问直接跳转到indax.html,这个是正常网页。如果站长是在广东,你根本发现不了,就算你是通过百度搜索去点击。
2、代码加入了地区判断验证和一般的有点区别。
3、代码用短网址过滤风险提示。
4、代码用Unicode编码来伪装自己。
5、代码进行了百度和360推送。
6、跳转加入了随机跳转,但写的网站都是同一个。
7、不足之处只做了百度来路的,其他搜索引擎的没做。
黑帽劫持JS代码打包下载地址链接:
注:以上代码过于简单粗暴,伪装的不够隐蔽,可以参看下面推荐阅读文章,自行加密处理。
推荐阅读:
仅从黑帽SEO技术研究!黑帽变黑产,暗流涌动,瞬间起飞了
因为文章中涉及到敏感词汇,所有需要回复才可以查看,请各位谅解。
2019-07-11 下午9:34不错,分析的很透彻。博主辛苦了
2019-07-24 下午7:07这种黑帽做法牛逼,普通人玩不转呀。
2019-08-18 下午4:22厉害,讲的很好
2020-03-23 下午5:14厉害,讲的很好
2020-03-27 下午9:26需自行车在三十
2020-03-29 下午10:32沙发上
2020-03-29 下午10:32来学些
2020-03-30 下午12:45看看大神的技术
2020-03-30 下午12:46回复了哈哈哈
2020-03-30 下午10:06牛逼!大赞
2020-03-30 下午10:08来了
2020-04-05 上午1:48好好好牛的
2020-04-09 上午10:22终于明白了这个黑帽手法了,花了我一个小时仔细来研究。
2020-04-17 下午9:05是我需要的
2020-05-02 下午8:39为什么看不到
2020-05-02 下午8:41回复、刷新就可以看到了
2020-05-08 上午2:43研究下新技术,学习。
2020-05-02 下午10:23我要看到 内容
2020-05-14 下午5:54辛苦了博主
2020-05-22 下午12:15牛皮
2020-05-22 下午11:53学习学习 谢谢大佬
2020-06-04 上午11:16有意向购买
2020-06-11 上午12:03恢复一下
2020-06-19 下午3:56挺好的
2020-06-19 下午3:57牛牛牛
2020-06-22 下午12:52学习
2020-07-07 下午4:11再试一次
2020-07-07 下午4:13可以
2020-07-09 下午7:15666可以的
2020-07-09 下午7:15瞻仰大神
2020-07-12 下午12:4466666666666666666哈
2020-07-25 下午11:29瞻仰大神
2020-07-25 下午11:30