黑帽SEO技术鬼手经典之作，逆向分析一个被菠菜沦陷的正规站

直接入正题，贴上被入侵网站index.html里面head头部代码。

我们看title标题部分，代码如下：

是不是看不懂。这个代码是Unicode编码的，我们用工具把Unicode编码成中文看下。

顺便把keywords关键词和description描述的Unicode编码转码一下吧。

现在看得懂鸟语了吧！
接下来继续看代码。
来了一个JS。
<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂"}</script>

这个JS是判断来路的，如果不是百度来的就显示“超冷、深冷、超深冷、超冷处理-东莞市有容超冷五金配件加工厂”。如果是的那就显示Unicode编码转码的

下面还是JS。

把网址复制到浏览器打开显示如下。

其实是一段JS，JS下面又有一个网址https://pv.sohu.com/cityjson?ie=utf-8，复制到浏览器中打开显示如下。

终于有点眉目了。他自己的网站报毒于是生成一个短网址来欺骗搜索引擎，变成一个百度认可的短网址。这个网页中是执行一条JS，用来判断IP地区来路的。我是在东莞的IP，显示是广东省东莞市，如果你是其他地方他会显示其他地方。所以看到以上图片可能和你实际验证的时候有地域差别。这个判断来路的JS其实是搜狐提供的，他调用了。

接下来是这句代码<script>var sf=returnCitySN["cname"]; if(sf.indexOf("广东省")>=0){window.location.href="/indax.html";}</script>

这个代码的意思是如果你的IP是广东省的那么页面直接跳转到indax.html，不是的直接运行下面的代码。

又是一个JS，把网址复制到浏览器中查看。

这又是通过短段码伪装成信任网站的危险网站的JS，里面是百度和360推送的网址。目的就是发挥它的余热，临走之前再推送一次百度和360，并做了标记识别，知道是哪个网址来的。

？88是他的识别码，黑客自己设置的有一定对应关系的，用来统计来源的。下面的代码就没什么了的了。

简单总结一下。

1、此代码具有2重隐蔽性。第一重：正常直接访问不跳转，伪装成正常网站的标题。第二重：你是广东IP访问直接跳转到indax.html,这个是正常网页。如果站长是在广东，你根本发现不了，就算你是通过百度搜索去点击。

2、代码加入了地区判断验证和一般的有点区别。

3、代码用短网址过滤风险提示。

4、代码用Unicode编码来伪装自己。

5、代码进行了百度和360推送。

6、跳转加入了随机跳转，但写的网站都是同一个。

7、不足之处只做了百度来路的，其他搜索引擎的没做。

黑帽劫持JS代码打包下载地址链接：

此处内容已经被作者隐藏，请输入验证码查看内容

验证码：

请关注本站微信公众号，回复“www.935la.com”，获取验证码。在微信里搜索“许望上”或者“a1027104365”或者微信扫描右侧二维码都可以关注本站微信公众号。

注：以上代码过于简单粗暴，伪装的不够隐蔽，可以参看下面推荐阅读文章，自行加密处理。

推荐阅读：

仅从黑帽SEO技术研究！黑帽变黑产，暗流涌动，瞬间起飞了