2021黑帽SEO技術(shù)總結(jié)

2021黑帽SEO技術(shù)總結(jié)目錄黑帽SEO系列基礎(chǔ)知識(shí) 1黑帽SEO基礎(chǔ)概念 1黑帽SEO作弊手法 6黑帽SEO系列頁面跳轉(zhuǎn) 8頁面跳轉(zhuǎn)分類 8各種跳轉(zhuǎn)介紹 9黑帽SEO系列網(wǎng)頁劫持 10服務(wù)端劫持 10客戶端劫持 11手法對(duì)比 12黑帽SEO系列暗鏈 12利用CSS實(shí)現(xiàn)掛暗鏈 13利用JS實(shí)現(xiàn)掛暗鏈 14利用DIV+JS實(shí)現(xiàn)掛暗鏈 14掛暗鏈高級(jí)姿勢(shì) 14搜索引擎劫持案列分析 15黑帽SEO剖析之手法篇 19黑帽seo概念 19SEO的一些黑色手法 19黑帽SEO剖析之工具篇 34寄生蟲（jsc) 34蜘蛛池 40黑帽SEO剖析之隱身篇 51隱身的技術(shù) 51黑帽SEO剖析之總結(jié)篇 53如何檢測(cè)自身網(wǎng)站是否被劫持？ 53誰來為此買單？ 55如何制止與防御？ 55黑帽SEO系列基礎(chǔ)知識(shí)SEO全稱為搜索引擎優(yōu)化，是指通過站內(nèi)優(yōu)化、站外優(yōu)化等方式，提升搜索引擎收錄排名。既然有SEO技術(shù)，便會(huì)有相應(yīng)的從業(yè)人員，他們被稱為白帽SEO，專指通過公正SEO手法，幫助提升站點(diǎn)排名的專業(yè)人員。

當(dāng)然有白便會(huì)有黑，由于白帽SEO優(yōu)化的過程將會(huì)十分漫長，一個(gè)新站想要獲取好的排名，往往需要花上幾年時(shí)間做優(yōu)化推廣。因此一些想要快速提升自身網(wǎng)站排名的小伙伴，便開始在SEO上研究作弊手法，從而誕生了黑帽SEO。黑帽SEO是指通過作弊手段，讓站點(diǎn)快速提升排名的一類SEO技術(shù)，或者說是黑客技術(shù)，比如說：黑鏈（暗鏈）、站群、網(wǎng)站劫持、橋頁等，黑帽SEO能夠快速提升排名，但畢竟是違規(guī)作弊行為，容易被K。

白帽與黑帽的優(yōu)缺點(diǎn)顯而易見，換句話說兩者皆不完美，因此便又誕生了灰帽SEO，介于兩者之間，既不違規(guī)，又可以較快速的提升排名。由于項(xiàng)目需要，最近開始接觸一些黑帽SEO的知識(shí)，在此總結(jié)分享，歡迎指正！黑帽SEO基礎(chǔ)概念域名概念：域名由兩個(gè)或兩個(gè)以上的詞構(gòu)成，中間由點(diǎn)號(hào)分隔開，最右邊的那個(gè)詞稱為頂級(jí)域名。頂級(jí)域名我們接觸的頂級(jí)域名又分為兩類：

1.國家和地區(qū)頂級(jí)域名，目前200多個(gè)國家分配了頂級(jí)域名，例如中國是cn，日本是jp等；

2.國際頂級(jí)域名，例如表示工商企業(yè)的.com，表示網(wǎng)絡(luò)提供商的.net，表示非盈利組織的.org等。一級(jí)域名一級(jí)域名就是在comnetorg前加一級(jí)，比如：，thief.one等。二級(jí)域名，等都是二級(jí)域名。泛站群泛二級(jí)域名站群

前提：在做域名解析的時(shí)候，選擇了*

操作：進(jìn)入服務(wù)器，可以借助泛二級(jí)域名建站工具，批量創(chuàng)建二級(jí)域名站點(diǎn)，從而實(shí)現(xiàn)站群的效果。泛端口站群

操作：先要獲得操作目標(biāo)站點(diǎn)的服務(wù)器權(quán)限，進(jìn)入服務(wù)器之后，可以使用泛端口站群建設(shè)工具，批量創(chuàng)建泛端口站點(diǎn)。主要是在iis里面批量創(chuàng)建站點(diǎn)，綁定站點(diǎn)對(duì)應(yīng)的端口。對(duì)于泛端口站點(diǎn)，一定要注意一些重要端口別占用了，否則可以導(dǎo)致服務(wù)器出錯(cuò)。一般泛站，用的比較多的是Dedecms程序。站中站就是在權(quán)重高的網(wǎng)站中創(chuàng)建一個(gè)自己的網(wǎng)站，其實(shí)就是添加很多外鏈，蜘蛛會(huì)認(rèn)為這些網(wǎng)站也是屬于高權(quán)重網(wǎng)站的內(nèi)容，因此權(quán)重也會(huì)比較高。但是由于這種做法太泛濫，導(dǎo)致百度修改了爬蟲算法。鏈輪

Y是想要推廣的網(wǎng)站，W是自己控制的外部網(wǎng)站，首先可以搞多個(gè)網(wǎng)站，一層層外鏈下去，形成鏈輪。當(dāng)想要推廣某個(gè)網(wǎng)站時(shí)，可以在所有外部網(wǎng)站上添加Y的外鏈。谷歌貌已經(jīng)對(duì)此不友好，百度還可以嘗試。蜘蛛池蜘蛛池是一種通過利用大型平臺(tái)權(quán)重來獲得搜索引擎收錄以及排名的一種程序。原理可以理解為事先創(chuàng)建了一些站群，獲?。ɑ筐B(yǎng)）了大量搜索引擎蜘蛛。當(dāng)想要推廣一個(gè)新的站點(diǎn)時(shí)，只需要將該站點(diǎn)以外鏈的形式添加到站群中，就能吸引蜘蛛爬取收錄。寄生蟲寄生蟲是黑帽SEO常用的一種方法，通過侵入別人網(wǎng)站，植入寄生蟲程序，自動(dòng)生成各種非法頁面。之所以叫做寄生蟲是因?yàn)槟軌蜃约河|發(fā)生成，而不是一次生成，例如在訪問網(wǎng)頁的時(shí)候觸發(fā)，自動(dòng)生成頁面且形成鏈輪等。黑帽SEO作弊手法SEO作弊手法不僅僅是為了提升網(wǎng)站排名，也有可能是為了陷害對(duì)手網(wǎng)站，降低其排名。PR劫持往往是利用301或者302跳轉(zhuǎn)，因?yàn)樗阉饕嬖谔幚?01，302跳轉(zhuǎn)時(shí)，把目標(biāo)URL當(dāng)做實(shí)際收錄的URL。

即當(dāng)從A域名302到B域名，而B域名的PR值比較高時(shí)，域名A在更新PR值后，也會(huì)顯示域名B的PR值，也就是說可以提升A的PR值。利用這一點(diǎn)，可以先將自己網(wǎng)站302跳轉(zhuǎn)到一個(gè)PR高的網(wǎng)站，等PR值更新后，取消轉(zhuǎn)向，放上自己的內(nèi)容，這樣可以維持到下一次PR值更新，大概兩三個(gè)月的時(shí)間。網(wǎng)站跳轉(zhuǎn)隱藏頁面隱藏頁面指的是頁面使用程序判斷訪問者是普通用戶還是搜索引擎蜘蛛。如果是普通用戶，程序返回一個(gè)不考慮SEO，只給用戶看的頁面；如果是搜索引擎蜘蛛，程序就返回一個(gè)高度優(yōu)化的，但是由于優(yōu)化后無法閱讀的頁面。隱藏文字隱藏文字指的是網(wǎng)頁上用戶看不到，但搜索引擎能看到的文字，可以通過改變文字顏色，位置，大小等方式，代碼：123<divstyle="display:none">隱藏文字</div>positon:absolute;margin-right:-1000000px;垃圾連接垃圾連接通常指站長為了提高網(wǎng)站排名，去各大論壇網(wǎng)站留言，留下自己的連接，一般通過群發(fā)軟件完成這一操作。這種手法，容易被過濾掉，一些瀏覽器的插件或者博客的插件可以自動(dòng)進(jìn)行垃圾留言過濾。連接農(nóng)場(chǎng)鏈接農(nóng)場(chǎng)指的是整個(gè)網(wǎng)站或者部分網(wǎng)頁，沒有實(shí)質(zhì)內(nèi)容，完全是為了交換鏈接而存在。該頁面上全部是鏈接到其他網(wǎng)站，其他網(wǎng)站再鏈回來，互相交叉。橋頁橋頁也稱為“門頁”，此頁面質(zhì)量很低，充斥著關(guān)鍵字，完全以關(guān)鍵詞排名與流量為目標(biāo)，不考慮用戶體驗(yàn)。當(dāng)用戶訪問橋頁，一般會(huì)有兩種情況。頁面頂部以大字號(hào)連接到其他網(wǎng)站（想要推廣的網(wǎng)站），用戶因?yàn)榭床磺鍢蝽搩?nèi)容，有時(shí)不得不點(diǎn)擊連接。利用頁面自動(dòng)跳轉(zhuǎn)技術(shù)。關(guān)鍵詞堆積關(guān)鍵詞堆積指的是在頁面上本來沒必要出現(xiàn)關(guān)鍵詞的地方反復(fù)刻意堆積關(guān)鍵詞，提高排名。誘餌替換誘餌替換指的是作弊者先通過普通關(guān)鍵詞制作頁面獲得排名后，更改為其他內(nèi)容。刷站刷站是一種利用程序模擬用戶用搜索引擎，搜索某個(gè)關(guān)鍵詞，然后點(diǎn)擊瀏覽某個(gè)網(wǎng)頁的行為。掛暗鏈（黑鏈）手法：利用CSS，利用DIV+JS，利用JS等

作用：利用高權(quán)重網(wǎng)站外鏈來提升自身站點(diǎn)排名。

網(wǎng)站劫持分類：客戶端劫持，服務(wù)端劫持，快照劫持等

手法：一般利用js或者php、asp等代碼，達(dá)到劫持網(wǎng)站，控制跳轉(zhuǎn)以及網(wǎng)頁效果呈現(xiàn)的目的。

作用：利用高權(quán)重網(wǎng)站跳轉(zhuǎn)來引流量。

利用高權(quán)重網(wǎng)站二級(jí)目錄手法：將一些博彩網(wǎng)頁放在高權(quán)重網(wǎng)站的二級(jí)目錄之下。

作用：提高網(wǎng)站排名，引流量。利用高權(quán)重網(wǎng)站二級(jí)目錄反向代理通過配置nginx/apache等，設(shè)置目錄代理，將服務(wù)器上某個(gè)目錄代理到自己搭建服務(wù)器上的某個(gè)目錄。

即瀏覽者在打開http://thi.one/2016/目錄時(shí)，實(shí)際訪問到的資源是自己服務(wù)器上的某個(gè)目錄（目標(biāo)服務(wù)器會(huì)去自己服務(wù)器上拿數(shù)據(jù)），這取決于nginx配置文件的寫法。這種手法不需要修改目標(biāo)服務(wù)器網(wǎng)站源碼，只需要修改中間件配置文件，不易被刪除，不易被發(fā)現(xiàn)。黑帽SEO系列頁面跳轉(zhuǎn)頁面跳轉(zhuǎn)分類（一）服務(wù)端跳轉(zhuǎn)一般用戶不會(huì)感覺到跳轉(zhuǎn)的實(shí)際行為，往往通過代碼去控制，因此有些時(shí)候我們也不叫做跳轉(zhuǎn)。具體的服務(wù)端跳轉(zhuǎn)行為有很多，各個(gè)語言技術(shù)都有各自的特點(diǎn)。（二）客戶端跳轉(zhuǎn)客戶端跳轉(zhuǎn)分為：http層跳轉(zhuǎn)，應(yīng)用層跳轉(zhuǎn)。

應(yīng)用層跳轉(zhuǎn)分為：htmlhead跳轉(zhuǎn)，js跳轉(zhuǎn)等。http層跳轉(zhuǎn)http跳轉(zhuǎn)是指server根據(jù)工作情況通過http返回狀態(tài)碼，利用http的重定向協(xié)議指示客戶端瀏覽器跳轉(zhuǎn)到相應(yīng)頁面的過程，一般返回碼是302。htmlhead跳轉(zhuǎn)（HTMLrefresh）在html代碼的head中添加特殊標(biāo)簽，如下1<metahttp-equiv="refresh"content="5";url="http://thief.one/"/>表示：5秒之后轉(zhuǎn)到OneThief首頁，這個(gè)跳轉(zhuǎn)需要瀏覽器具體解析html后采能進(jìn)行。js跳轉(zhuǎn)通過在html代碼中添加js代碼，通過js代碼實(shí)現(xiàn)跳轉(zhuǎn)：123<scriptlanguage="javascript"type="text/javascript">window.location.;</script>這個(gè)跳轉(zhuǎn)應(yīng)該比htmlhead跳轉(zhuǎn)更向后延遲。各種跳轉(zhuǎn)包含關(guān)系服務(wù)端跳轉(zhuǎn)客戶端跳轉(zhuǎn)http跳轉(zhuǎn)應(yīng)用層跳轉(zhuǎn)htmlhead跳轉(zhuǎn)htmljs跳轉(zhuǎn)各種跳轉(zhuǎn)介紹（一）服務(wù)端跳轉(zhuǎn)介紹：跳轉(zhuǎn)發(fā)生在服務(wù)器上，用戶不會(huì)有任何感覺。

優(yōu)點(diǎn)：跳轉(zhuǎn)行為在server進(jìn)行，一次tcp連接完成相關(guān)操作，對(duì)用戶是透明的，不會(huì)造成疑惑。

缺點(diǎn)：對(duì)用戶隱藏了信息，跳轉(zhuǎn)行為都發(fā)生在server端，對(duì)server有壓力。（二）http跳轉(zhuǎn)介紹：跳轉(zhuǎn)發(fā)生在服務(wù)端發(fā)生數(shù)據(jù)給客戶端過程中，用戶能夠感覺到，并且狀態(tài)碼往往為302。

優(yōu)點(diǎn)：響應(yīng)速度快，在http1.1協(xié)議下通過合適的設(shè)置可以使用同一個(gè)tcp連接，節(jié)省網(wǎng)絡(luò)時(shí)間，服務(wù)器及用戶端都不需要進(jìn)行額外的數(shù)據(jù)處理工作，節(jié)省時(shí)間。

缺點(diǎn)：僅僅能做跳轉(zhuǎn)沒有其他功能，基于js及html的跳轉(zhuǎn)可以選擇延時(shí)跳轉(zhuǎn)，但是302無法選擇延時(shí)跳轉(zhuǎn)等。（三）htmlhead跳轉(zhuǎn)介紹：跳轉(zhuǎn)發(fā)生在服務(wù)端已經(jīng)將數(shù)據(jù)傳輸?shù)娇蛻舳艘院?，用戶能夠感覺到。

優(yōu)點(diǎn)：跳轉(zhuǎn)方式靈活，可以指定延時(shí)跳轉(zhuǎn)等等

缺點(diǎn)：可能多次建立tcp連接，在低速網(wǎng)絡(luò)下效率更低，浪費(fèi)客戶端的時(shí)間。（四）js跳轉(zhuǎn)介紹：跳轉(zhuǎn)發(fā)生在服務(wù)端已經(jīng)將數(shù)據(jù)傳輸?shù)娇蛻舳艘院?，用戶能夠感覺到

優(yōu)點(diǎn)：跳轉(zhuǎn)方式靈活，可以指定延時(shí)跳轉(zhuǎn)等等

缺點(diǎn)：可能多次建立tcp連接，在低速網(wǎng)絡(luò)下效率更低，浪費(fèi)客戶端的時(shí)間。黑帽SEO系列網(wǎng)頁劫持網(wǎng)頁劫持是目前黑帽SEO或者說黑產(chǎn)最喜歡的一種網(wǎng)頁引流方式，此手法往往通過入侵政府、教育機(jī)構(gòu)網(wǎng)站（權(quán)重高），修改網(wǎng)站源代碼、放寄生蟲程序、設(shè)置二級(jí)目錄反向代理等實(shí)現(xiàn)。網(wǎng)頁劫持可以分為服務(wù)端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；表現(xiàn)形式可以是劫持跳轉(zhuǎn)，也可以是劫持呈現(xiàn)的網(wǎng)頁內(nèi)容，目前被廣泛應(yīng)用于私服、博彩等暴利行業(yè)。服務(wù)端劫持服務(wù)端劫持也稱為全局劫持，手法為修改網(wǎng)站動(dòng)態(tài)語言文本，判斷訪問來源控制返回內(nèi)容，從來達(dá)到網(wǎng)站劫持的目的。asp/aspx/php劫持Global.asa、Global.asax、conn.asp、conn.php等文件比較特殊，作用是在每次執(zhí)行一個(gè)動(dòng)態(tài)腳本的時(shí)候，都會(huì)先加載該腳本，然后再執(zhí)行目標(biāo)腳本。所以只要在Global.asa中寫判斷用戶系統(tǒng)信息的代碼（訪問來源等），如果是蜘蛛訪問則返回關(guān)鍵詞網(wǎng)頁（想要推廣的網(wǎng)站），如果是用戶訪問，則返回正常頁面?？蛻舳私俪挚蛻舳私俪值氖址ㄒ埠芏?，但主要就是2種：js劫持、Header劫持。js劫持js劫持目的：通過向目標(biāo)網(wǎng)頁植入惡意js代碼，控制網(wǎng)站跳轉(zhuǎn)、隱藏頁面內(nèi)容、窗口劫持等。

js植入手法：可以通過入侵服務(wù)器，直接寫入源代碼中；也可以寫在數(shù)據(jù)庫中，因?yàn)橛行╉撁鏁?huì)呈現(xiàn)數(shù)據(jù)庫內(nèi)容。js劫持案例效果：通過搜索引擎搜索點(diǎn)擊頁面（執(zhí)行一段js）跳轉(zhuǎn)到博彩頁面；直接輸入網(wǎng)址訪問網(wǎng)頁，跳轉(zhuǎn)到404頁面。

代碼：1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}分析：通過referer判斷來路，如果referer來路為空就是跳轉(zhuǎn)到404頁面，如果是搜索引擎來的referer里面也會(huì)有顯示，然后在寫代碼控制跳轉(zhuǎn)。如果只是控制實(shí)現(xiàn)顯示不同的內(nèi)容，可以修改php、asp代碼；如果需要劫持搜索引擎搜索框，可以寫JS代碼來做瀏覽器本地跳轉(zhuǎn)。當(dāng)然js功能可以無限擴(kuò)展，比如可以控制一個(gè)ip一天內(nèi)第一次訪問正常，其余訪問跳轉(zhuǎn)等等。header劫持在源代碼中寫入以下代碼：1<metahttp-equiv=“refresh“content=“10;url=http://thief.one“>利用的就是MetaRefreshTag（自動(dòng)轉(zhuǎn)向），將流量引走。手法對(duì)比客戶端劫持與服務(wù)端區(qū)別客戶端劫持：每次訪問網(wǎng)頁從服務(wù)端獲取到的網(wǎng)頁代碼都是相同的，只是控制了網(wǎng)頁代碼在瀏覽器中呈現(xiàn)的效果（比如是否進(jìn)行跳轉(zhuǎn)等）。

服務(wù)端劫持：改變了每次訪問網(wǎng)頁從服務(wù)端獲取到的網(wǎng)頁代碼?？蛻舳私俪峙c服務(wù)端判斷方法客戶端劫持的判斷方法：只需觀察瀏覽器呈現(xiàn)的網(wǎng)頁前端代碼，查看是否引用了不當(dāng)?shù)膉s，或者其它敏感內(nèi)容。

服務(wù)端劫持的判斷方法：可以通過觀察網(wǎng)站后端代碼，或者通過改變ip，包頭等方式，觀察放回源碼是否不同。結(jié)語：網(wǎng)頁劫持的方法還有很多，我了解的大概只是皮毛，黑帽SEO技術(shù)的水很深，前路漫漫。黑帽SEO系列暗鏈暗鏈也稱為黑鏈，即隱蔽鏈接hiddenlinks，是黑帽SEO的作弊手法之一。在早期的SEO優(yōu)化中，黑鏈?zhǔn)亲钣行ё钛杆俚姆椒ㄖ?；但是現(xiàn)在百度算法已經(jīng)對(duì)iframe和display:none等直接進(jìn)行了打擊，如果你對(duì)代碼沒有任何處理的話，那么你所做的外鏈將全部降權(quán)。因此，目前黑帽SEO技術(shù)中，暗鏈已經(jīng)用得不多，但還是有必要了解下這個(gè)經(jīng)典的作弊手法。掛暗鏈的目的很簡(jiǎn)單，增加網(wǎng)站外鏈，提高網(wǎng)站排名；實(shí)現(xiàn)方式主要分為幾種：利用CSS實(shí)現(xiàn)、利用JS實(shí)現(xiàn)、利用DIV+JS實(shí)現(xiàn)，其他高級(jí)手法。利用CSS實(shí)現(xiàn)掛暗鏈display屬性將display屬性設(shè)置為none，則頁面上不顯示此內(nèi)容。123<divstyle="display:none;"><ahref=http://thief.one/>暗鏈</a></div>分析：這種形式以前效果較好，現(xiàn)在不建議使用，易被搜索引擎察覺。color/font-size/line-height屬性將color顏色設(shè)置與頁面背景色一樣，大小設(shè)置為小于或等于1。1<ahref=http://thief.onestyle="color:#FFFFFF;font-size:1px;line-height:1px;">暗鏈</a>分析：最初級(jí)的隱蔽鏈接，易被搜索引擎察覺。position屬性將position位置屬性設(shè)置成負(fù)數(shù)，使內(nèi)容位于頁面可見范圍以外。1<divstyle="position:absolute;top:-999px;left:-999px;"><ahref=http://thief.one>暗鏈</a></div>1<divstyle="position:absolute;left:expression_r(1-900);top:expression_r(3-999);"><ahref=http://thief.one>暗鏈</a></div>分析：以上2種寫法，都是將內(nèi)容放到可見范圍以外，容易被搜索引擎識(shí)別。marquee屬性設(shè)置marquee滾動(dòng)標(biāo)簽屬性，使之快速閃現(xiàn)。1<marqueeheight=1width=5scrollamount=3000scrolldelay=20000><ahref=http://thief.one>暗鏈</a></marquee>分析：鏈接以賽馬燈形式迅速閃現(xiàn)，這種形式以前效果較好，現(xiàn)在不建議使用。利用JS實(shí)現(xiàn)掛暗鏈利用js向頁面中寫入css代碼，設(shè)置屬性。123456789<scriptlanguage="javascript"type="text/javascript">document.write("<divstyle='display:none;'>");</script><div><ahref=http://thief.one>暗鏈</a><scriptlanguage="javascript"type="text/javascript">document.write("</div>");</script>分析：js輸出前面提到的css代碼，到達(dá)一樣的效果。目前來說Google對(duì)這種js形式的代碼的內(nèi)部實(shí)質(zhì)意義還無法識(shí)別，但也不建議使用這種。利用DIV+JS實(shí)現(xiàn)掛暗鏈利用div與js功能，修改屬性。1234<divid="anlian"><a>隱蔽層：可以放暗鏈鏈接</div></div>分析：這種方式一般是放在Flash、圖片或者其它層對(duì)象下方。這個(gè)代碼是用父層相對(duì)定位，子層用絕對(duì)定位固定住以用來遮擋下面的隱蔽層內(nèi)的暗鏈內(nèi)容。結(jié)語：暗鏈不是什么新鮮的技術(shù)，但黑帽SEO始終在摸索前行，路漫漫其修遠(yuǎn)兮！搜索引擎劫持案列分析搜索引擎是每個(gè)網(wǎng)站通往客戶最直接的方式，我相信大部分人訪問網(wǎng)站借助于搜索引擎。對(duì)于我來說，搜索引擎還有另外一項(xiàng)功能，查看網(wǎng)站的狀態(tài)（排名，收錄情況，安全性等）。

通常來說，每天我都會(huì)打開搜索引擎查詢網(wǎng)站的安全情況，今天也不例外，然而當(dāng)我在查詢關(guān)于某個(gè)客戶網(wǎng)站的信息時(shí)，卻出現(xiàn)了一些奇怪的敏感內(nèi)容：

某政府網(wǎng)站上出現(xiàn)了博彩相關(guān)內(nèi)容（排除新聞頁面），這顯然是不合規(guī)的。排除管理員失誤添加導(dǎo)致，恐怕此網(wǎng)站多半是被黑客入侵了。抱著謹(jǐn)慎的態(tài)度，我決定深入研究一番。

首先我訪問了該記錄上的鏈接，緊接著瀏覽器中出現(xiàn)了一個(gè)正常的政府頁面，而也就須臾之間，網(wǎng)頁瞬間又跳轉(zhuǎn)到了博彩網(wǎng)頁。

圖一為正常政府頁面：

圖二為博彩頁面：

可以看到博彩頁面的域名為，顯然不是先前的政府網(wǎng)站域名?？吹酱爽F(xiàn)象，再結(jié)合多年安全經(jīng)驗(yàn)，我大致能夠猜測(cè)此網(wǎng)站應(yīng)該是被搜索引擎劫持了。所謂搜索引擎劫持是目前黑帽SEO或者說黑產(chǎn)最喜歡的一種網(wǎng)頁引流方式，此手法往往通過入侵政府、教育機(jī)構(gòu)網(wǎng)站（權(quán)重高），修改網(wǎng)站源代碼、放寄生蟲程序、設(shè)置二級(jí)目錄反向代理等實(shí)現(xiàn)。搜索引擎劫持可以分為服務(wù)端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；表現(xiàn)形式可以是劫持跳轉(zhuǎn)，也可以是劫持呈現(xiàn)的網(wǎng)頁內(nèi)容，目前被廣泛應(yīng)用于私服、博彩等暴利行業(yè)。

通過分析以上過程的數(shù)據(jù)包，我們不難發(fā)現(xiàn)，在該網(wǎng)站前端頁面被嵌入了一段非法代碼。

此代碼存放在1服務(wù)器上，查看該服務(wù)器信息，發(fā)現(xiàn)其在日本。

而通過訪問此段代碼，返回內(nèi)容則是跳轉(zhuǎn)到網(wǎng)站上。

分析至此，我們不難發(fā)現(xiàn)，導(dǎo)致頁面跳轉(zhuǎn)的原因便是網(wǎng)頁被非法嵌入了一竄代碼，而此代碼能夠控制訪問該網(wǎng)頁時(shí)跳轉(zhuǎn)到博彩頁面。這是搜索引擎劫持最為基礎(chǔ)且常見的一種方式，其變種甚多，類型方式也各異，根據(jù)一段時(shí)間的調(diào)查學(xué)習(xí)我也總結(jié)了一些相關(guān)內(nèi)容

當(dāng)政府網(wǎng)站被掛博彩等敏感內(nèi)容，其危害不言而喻。意識(shí)后問題嚴(yán)重性后，我立馬聯(lián)系了網(wǎng)站管理員，告知其詳細(xì)情況，并幫助其整改。我們必須明白，搜索引擎劫持不是漏洞，只是一種黑產(chǎn)的表現(xiàn)形式。因此想要解決搜索引擎劫持問題，首先要解決網(wǎng)站本身的安全問題。

細(xì)細(xì)回想一番，曾幾何時(shí)當(dāng)我們通過搜索引擎打開一個(gè)正常網(wǎng)頁時(shí)，是否存在跳轉(zhuǎn)到其他非法頁面的情況。很有可能，那便是一個(gè)被搜索引擎劫持的網(wǎng)站，而當(dāng)我們點(diǎn)擊鏈接的那一刻，便成為了黑色產(chǎn)業(yè)鏈的一部分，因?yàn)槲覀優(yōu)槠鋷チ肆髁?。黑帽SEO剖析之手法篇黑帽seo概念SEO全稱為搜索引擎優(yōu)化，是指通過站內(nèi)優(yōu)化、站外優(yōu)化等方式，提升搜索引擎收錄排名。既然有SEO技術(shù)，便會(huì)有相應(yīng)的從業(yè)人員，他們被稱為白帽SEO，專指通過公正SEO手法，幫助提升站點(diǎn)排名的專業(yè)人員。

當(dāng)然有白便會(huì)有黑，由于白帽SEO優(yōu)化的過程將會(huì)十分漫長，一個(gè)新站想要獲取好的排名，往往需要花上幾年時(shí)間做優(yōu)化推廣。因此一些想要快速提升自身網(wǎng)站排名的小伙伴，便開始在SEO上研究作弊手法，從而誕生了黑帽SEO。黑帽SEO是指通過作弊手段，讓站點(diǎn)快速提升排名的一類SEO技術(shù)，或者說是黑客技術(shù)，比如說：黑鏈（暗鏈）、站群、網(wǎng)站劫持（搜索引擎劫持）、橋頁等，黑帽SEO能夠快速提升排名，但畢竟是違規(guī)作弊行為，容易被K。SEO的一些黑色手法黑帽SEO的手法很多，并且在不斷地更新?lián)Q代，其中最常見的包括利用泛解析做站群，入侵高權(quán)重網(wǎng)站掛暗鏈，入侵高權(quán)重網(wǎng)站做網(wǎng)頁劫持，篡改高權(quán)重網(wǎng)站網(wǎng)頁內(nèi)容，利用高權(quán)重網(wǎng)站二級(jí)目錄做推廣頁面，修改nginx配置做目錄反向代理等等。接下來我結(jié)合實(shí)際案例，介紹一些常用的手段。利用泛解析建立泛二級(jí)域名站群利用DNS泛解析可以快速建立站群，因?yàn)橐粋€(gè)一級(jí)域名便可以衍生出無數(shù)個(gè)二級(jí)域名，當(dāng)然一般需要借助站群工具，因?yàn)榻⒄救盒枰泻芏鄡?nèi)容不同的頁面，手工建立顯然不可能。而seo人員大費(fèi)周章地建立站群的目的，便是能夠快速吸引大量的搜索引擎爬蟲，增加網(wǎng)站在搜索引擎中的收錄量。以下是某個(gè)泛二級(jí)域名站群案例截圖：

需要說明的是，以上截圖中的二級(jí)域名并不是通過一條條dns解析記錄去綁定的，解析里面設(shè)置的是*，也就是泛解析。而服務(wù)器端有程序或者代碼去控制當(dāng)構(gòu)造不同的二級(jí)域名訪問時(shí)，會(huì)返回不同的網(wǎng)頁內(nèi)容，也就讓搜索引擎誤認(rèn)為每個(gè)二級(jí)域名都是一個(gè)單獨(dú)的網(wǎng)站。

泛解析有很多優(yōu)點(diǎn)，比如對(duì)用戶友好（即使輸錯(cuò)二級(jí)域名也能跳轉(zhuǎn)到目標(biāo)網(wǎng)站），又能夠更快速地被搜索引擎收錄等?；谶@些優(yōu)點(diǎn)，很多站長會(huì)選擇用此方式來增加網(wǎng)站收錄，然而如果沒有妥善的使用泛解析可能會(huì)帶來難以想象的危害。利用泛解析做黑產(chǎn)利用泛解析做黑帽seo的方式也有很多種，基于是否需要入侵網(wǎng)站以及dns服務(wù)器，我分為入侵法與非入侵法來介紹。入侵法真實(shí)案例：幾個(gè)月前我們發(fā)現(xiàn)一個(gè)重要政府網(wǎng)站出現(xiàn)了大量博彩頁面，取證截圖如下：

經(jīng)過分析我發(fā)現(xiàn)，此手法利用的便是泛解析，從截圖中可以看到出現(xiàn)了大量此政府網(wǎng)站的二級(jí)甚至三級(jí)域名，而這些域名都是隨機(jī)構(gòu)造的，訪問后會(huì)跳轉(zhuǎn)到博彩色情等非法頁面，而訪問一級(jí)域名又是正常的內(nèi)容。且先不分析跳轉(zhuǎn)的過程中用到了哪些技術(shù)，單從泛解析記錄就不難看出，此網(wǎng)站被人篡改了dns解析記錄。我們有理由相信，黑客獲取了此域名的dns解析控制權(quán)限，并將此域名泛解析到黑客準(zhǔn)備好的服務(wù)器上。那么黑客這么做的目的很明顯，為了讓搜索引擎快速收錄二級(jí)或者三級(jí)域名，從而達(dá)到引流到非法頁面的目的。

我們通過分析此政府網(wǎng)站被入侵特征推導(dǎo)出此事件過程應(yīng)該是，黑客通過入侵手段獲取到了該政府網(wǎng)站dns解析權(quán)限（如何獲取暫不可知），然后通過添加泛解析記錄，將此記錄指向黑客準(zhǔn)備好的服務(wù)器，而此服務(wù)器上有動(dòng)態(tài)語言去實(shí)現(xiàn)通過不同二級(jí)域名訪問，返回不同的頁面結(jié)果功能。由于政府網(wǎng)站本身權(quán)重很高，因此二級(jí)域名頁面被百度快速收錄，達(dá)到為非法頁面引流的目的。這種手法的好處在于不必入侵網(wǎng)站，而只要獲取到域名解析權(quán)限即可（當(dāng)然獲取域名解析權(quán)限也并非易事）。非入侵法真實(shí)案例：幾天前我們發(fā)現(xiàn)有一個(gè)網(wǎng)站（）利用泛解析做惡意推廣，查看網(wǎng)站特征后，我們嘗試構(gòu)造不同的二級(jí)域名訪問，取證截圖如下。

構(gòu)造二級(jí)域名訪問：

最終返回結(jié)果：

可以看到返回結(jié)果對(duì)網(wǎng)頁內(nèi)容以及url做了處理，當(dāng)我們嘗試構(gòu)造不同的二級(jí)域名訪問，發(fā)現(xiàn)返回結(jié)果內(nèi)容都不一樣，然而通過獲取ip發(fā)現(xiàn)來自同一臺(tái)服務(wù)器。首先我們不難想到，此域名一定是做了泛解析的，那么它是如何控制網(wǎng)頁內(nèi)容變化的呢？

查看網(wǎng)頁源碼可以看到網(wǎng)頁源碼被嵌入到了目標(biāo)網(wǎng)頁中。

那么其實(shí)想要實(shí)現(xiàn)此技術(shù)也并不難，可以在服務(wù)端上用代碼實(shí)現(xiàn)。首先通過獲取請(qǐng)求的二級(jí)域名地址，然后去訪問該二級(jí)域名內(nèi)容獲取源碼鑲嵌到自己的網(wǎng)頁內(nèi)。如果構(gòu)造的二級(jí)域名內(nèi)容不是一個(gè)完整的域名地址（如：1.），則隨機(jī)返回一段源碼。這種手法的好處在于不必入侵網(wǎng)站，只需要自己搭建一臺(tái)服務(wù)器即可，但推廣效果沒有那么好。利用網(wǎng)站暗鏈在網(wǎng)頁中植入暗鏈這種手法已經(jīng)相對(duì)落伍了，目前用的也比較少，因?yàn)樗阉饕嬉呀?jīng)能夠?qū)Υ俗鞅资址ㄟM(jìn)行檢測(cè)。為了介紹知識(shí)的完整性，此處我簡(jiǎn)單介紹一下。暗鏈也稱為黑鏈，即隱蔽鏈接hiddenlinks，是黑帽SEO的作弊手法之一。掛暗鏈的目的很簡(jiǎn)單，增加網(wǎng)站外鏈，提高網(wǎng)站排名；實(shí)現(xiàn)方式主要分為幾種：利用CSS實(shí)現(xiàn)、利用JS實(shí)現(xiàn)、利用DIV+JS實(shí)現(xiàn)等。

具體介紹請(qǐng)參考：黑帽SEO之暗鏈利用高權(quán)重網(wǎng)站，構(gòu)造關(guān)鍵詞URL做推廣真實(shí)案例：一年前當(dāng)我剛研究黑帽SEO的時(shí)候發(fā)現(xiàn)了一個(gè)有趣的黑帽SEO方式，雖然手法比較拙劣老套，但卻也有成效。于是在寫這篇文章的時(shí)候，我特意找了一個(gè)典型案例，與大家分享，取證截圖如下。

將URL中的參數(shù)內(nèi)容顯示到網(wǎng)頁內(nèi)，這原本是某些網(wǎng)頁的一種特殊功能。以往的經(jīng)驗(yàn)告訴我這種特性如果沒有處理好，可能會(huì)引發(fā)XSS漏洞，而今我不得不認(rèn)識(shí)到，這種特性也一直被用于黑帽seo。通過在url或者post數(shù)據(jù)包（常見于搜索框功能）中構(gòu)造推廣關(guān)鍵詞，再將有推廣關(guān)鍵詞頁面添加到蜘蛛池中，使搜索引擎收錄就能達(dá)到推廣的目的。一般此種手法常被用來推廣qq號(hào)，盈利網(wǎng)站等（類似打廣告），而當(dāng)我們通過搜索引擎搜索某些關(guān)鍵詞時(shí)（如色情資源），就會(huì)顯示出此頁面，從而達(dá)到推廣自身賬號(hào)或者網(wǎng)站的目的，當(dāng)然這只是一種推廣手段，并不太涉及引流。利用網(wǎng)頁劫持引流網(wǎng)頁劫持，又叫網(wǎng)站劫持或者搜索引擎劫持，是目前黑帽SEO中最流行的一種做法。其原因可以簡(jiǎn)單概括為：易收錄、難發(fā)現(xiàn)，易收錄表現(xiàn)為搜索引擎尚沒有很好的機(jī)制能夠檢測(cè)出此作弊手段，網(wǎng)頁劫持手法仍然能夠大量引流。難發(fā)現(xiàn)是指網(wǎng)頁劫持手法比較隱蔽，一般非技術(shù)人員很難發(fā)現(xiàn)它的存在。

網(wǎng)頁劫持從手法上可以分為服務(wù)端劫持、客戶端劫持、百度快照劫持、百度搜索劫持等等；

網(wǎng)頁劫持的表現(xiàn)形式可以是劫持跳轉(zhuǎn)，也可以是劫持呈現(xiàn)的網(wǎng)頁內(nèi)容（與直接篡改網(wǎng)頁內(nèi)容不同），目前被廣泛應(yīng)用于私服、博彩等暴利行業(yè)。網(wǎng)頁劫持真實(shí)案例

幾個(gè)月前我處理了一起網(wǎng)頁劫持案列，起因是某政府網(wǎng)站上出現(xiàn)了博彩相關(guān)內(nèi)容（排除新聞頁面），這顯然是不合規(guī)的。排除管理員失誤添加導(dǎo)致，恐怕此網(wǎng)站多半是被黑客入侵了。首先我訪問了該記錄上的鏈接，緊接著瀏覽器中出現(xiàn)了一個(gè)正常的政府頁面，而也就須臾之間，網(wǎng)頁瞬間又跳轉(zhuǎn)到了博彩網(wǎng)頁。

圖一為正常政府頁面：

圖二為博彩頁面：

可以看到博彩頁面的域名為，顯然不是先前的政府網(wǎng)站域名。看到此現(xiàn)象，再結(jié)合多年安全經(jīng)驗(yàn)，我大致能夠猜測(cè)此網(wǎng)站應(yīng)該是被網(wǎng)頁劫持了。通過分析以上過程的數(shù)據(jù)包，不難發(fā)現(xiàn)在該網(wǎng)站前端頁面被嵌入了一段非法代碼。

此代碼存放在1服務(wù)器上，查看該服務(wù)器信息，發(fā)現(xiàn)其在日本。

而通過訪問此段代碼，返回內(nèi)容則是跳轉(zhuǎn)到網(wǎng)站上。

分析至此，我們不難發(fā)現(xiàn)，導(dǎo)致頁面跳轉(zhuǎn)的原因便是網(wǎng)頁被非法嵌入了一竄代碼，而此代碼能夠控制訪問該網(wǎng)頁時(shí)跳轉(zhuǎn)到博彩頁面。這是搜索引擎劫持最為基礎(chǔ)且常見的一種方式，其變種甚多，類型方式也各異。最后我通過登錄web服務(wù)器查看，發(fā)現(xiàn)了存在大量html文件被篡改，且都在文件開頭被寫入外部js引用。那么此入侵事件過程應(yīng)該是，黑客通過web應(yīng)用程序某些漏洞入侵服務(wù)器（實(shí)際是管理后臺(tái)弱口令+任意文件上傳），通過批量篡改服務(wù)器靜態(tài)文件實(shí)現(xiàn)網(wǎng)頁劫持的目的。網(wǎng)頁劫持的手法非常多，并不是這一個(gè)案例就能概括的，更多詳細(xì)情況請(qǐng)繼續(xù)看下文介紹。服務(wù)端劫持服務(wù)端劫持也稱為全局劫持，此手法為修改網(wǎng)站動(dòng)態(tài)語言文件，判斷訪問來源控制返回內(nèi)容，從而達(dá)到網(wǎng)頁劫持的目的。其特點(diǎn)往往是通過修改asp/aspx/php等后綴名文件，達(dá)到動(dòng)態(tài)呈現(xiàn)網(wǎng)頁內(nèi)容的效果。

Global.asa、Global.asax、conn.asp、conn.php等文件比較特殊，作用是在每次執(zhí)行一個(gè)動(dòng)態(tài)腳本的時(shí)候，都會(huì)先加載該腳本，然后再執(zhí)行目標(biāo)腳本。所以只要在Global.asa中寫判斷用戶系統(tǒng)信息的代碼（訪問來源等），如果是蜘蛛訪問則返回關(guān)鍵詞網(wǎng)頁（想要推廣的網(wǎng)站），如果是用戶訪問則返回正常頁面?？蛻舳私俪挚蛻舳私俪值氖址ㄒ埠芏啵畛Ｓ玫木蛢煞N：js劫持與Header劫持。js劫持目的是通過向目標(biāo)網(wǎng)頁植入惡意js代碼，控制網(wǎng)站跳轉(zhuǎn)、隱藏頁面內(nèi)容、窗口劫持等。js植入手法是可以通過入侵服務(wù)器，直接寫入源代碼中；也可以寫在數(shù)據(jù)庫中，因?yàn)橛行╉撁鏁?huì)呈現(xiàn)數(shù)據(jù)庫內(nèi)容。js劫持代碼案例：

以下代碼可以使通過搜索引擎搜索的并點(diǎn)擊頁面時(shí)，執(zhí)行一段js并跳轉(zhuǎn)到博彩頁面；而直接輸入網(wǎng)址訪問網(wǎng)頁時(shí)，跳轉(zhuǎn)到一個(gè)404頁面。1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}代碼分析：通過referer判斷來路，如果referer來路為空就是跳轉(zhuǎn)到404頁面，如果是搜索引擎來的referer里面也會(huì)有顯示，然后在寫代碼控制跳轉(zhuǎn)。如果只是控制實(shí)現(xiàn)顯示不同的內(nèi)容，可以修改php、asp代碼；如果需要劫持搜索引擎搜索框，可以寫JS代碼來做瀏覽器本地跳轉(zhuǎn)。當(dāng)然js功能可以無限擴(kuò)展，比如可以控制一個(gè)ip一天內(nèi)第一次訪問正常，其余訪問跳轉(zhuǎn)等等。header劫持，就是在html代碼的head中添加特殊標(biāo)簽，代碼如下：1<metahttp-equiv="refresh"content="10;url=http://thief.one">header劫持利用的就是MetaRefreshTag（自動(dòng)轉(zhuǎn)向）功能將流量引走。直接篡改網(wǎng)頁內(nèi)容（比較低級(jí)）有些黑客在入侵網(wǎng)站后，喜歡直接篡改網(wǎng)頁內(nèi)容，比如放上自己的qq號(hào)，或者作為推廣將網(wǎng)頁篡改成非法頁面。在此我對(duì)此做法的黑客表示鄙視，因?yàn)檫@是一種最惡劣最低級(jí)的手法。惡劣在于直接篡改網(wǎng)頁內(nèi)容，可能會(huì)導(dǎo)致網(wǎng)站無法挽回的損失；低級(jí)在于此手法極易被發(fā)現(xiàn)，起不到真正的引流推廣作用。利用高權(quán)重網(wǎng)站二級(jí)目錄即黑客入侵網(wǎng)站后，在網(wǎng)站二級(jí)目錄下創(chuàng)建很多自己做推廣的頁面。為了達(dá)到引流的目的黑客往往需要建立大量的二級(jí)目錄頁面，因此需要用到寄生蟲程序來自動(dòng)化的創(chuàng)建頁面。此手法也需要入侵高權(quán)重網(wǎng)站，獲取網(wǎng)站服務(wù)器權(quán)限。與網(wǎng)頁劫持手法不同的是，此手法側(cè)重點(diǎn)在于利用高權(quán)重網(wǎng)站自身的優(yōu)勢(shì)，在其目錄下創(chuàng)建多個(gè)推廣頁面；而網(wǎng)頁劫持側(cè)重隱藏自身，其可以做到動(dòng)態(tài)呈現(xiàn)網(wǎng)頁內(nèi)容給客戶。因此在實(shí)際使用中，黑客經(jīng)常結(jié)合兩者使用。此手法與利用泛解析做黑帽seo的手法還是有明顯差異的，雖然同樣是利用高權(quán)重網(wǎng)站本身的優(yōu)勢(shì)，但泛解析利用的是二級(jí)域名，而此手法利用的是二級(jí)目錄，當(dāng)然兩者有異曲同工之妙。

利用高權(quán)重網(wǎng)站二級(jí)目錄手法的案例與泛解析案例類似，這里不再詳述。既然我前面提到此手法往往需要寄生蟲程序的配合使用，那么我們來看看，何為寄生蟲程序？它又有何玄機(jī)？黑帽SEO剖析之工具篇寄生蟲（jsc)植入寄生蟲是黑帽SEO常用的一種方法，通過侵入別人網(wǎng)站，植入寄生蟲程序，自動(dòng)生成各種非法頁面。之所以叫做寄生蟲是因?yàn)槟軌蜃约河|發(fā)生成，而不是一次生成，例如在訪問網(wǎng)頁的時(shí)候觸發(fā)，自動(dòng)生成頁面且形成鏈輪等。簡(jiǎn)單來說，寄生蟲是一種程序，此程序的功能是能夠自己創(chuàng)建網(wǎng)頁文件，而創(chuàng)建的條件可以定制，比如說當(dāng)有人訪問某個(gè)頁面時(shí)就會(huì)觸發(fā)寄生蟲程序生成一批新的網(wǎng)頁文件，或者每天定時(shí)創(chuàng)建等等。

我曾經(jīng)在給一個(gè)客戶處理應(yīng)急響應(yīng)事件時(shí)，便遇到過此類狀況。每當(dāng)我清理完所有惡意網(wǎng)頁文件后，服務(wù)器上都會(huì)不時(shí)地自動(dòng)生成一大批新的網(wǎng)頁文件。令人頭疼的是，當(dāng)時(shí)我完全掌握不了生成新文件的規(guī)律。后來我們?cè)谝灰慌懦齱eb服務(wù)器上的文件時(shí)，發(fā)現(xiàn)了其中一個(gè)惡意的動(dòng)態(tài)語言文件（由于種種原因，樣本沒有保留下來），此惡意文件就是類似寄生蟲程序，會(huì)在我們?cè)L問此網(wǎng)站的某個(gè)頁面觸發(fā)，生成一批新的惡意頁面。寄生蟲分類寄生蟲分為動(dòng)態(tài)與靜態(tài)，動(dòng)態(tài)寄生蟲程序的就是會(huì)不斷自動(dòng)生成新的頁面（如我上面所述案例），或者是刷新頁面以后自動(dòng)變化內(nèi)容，動(dòng)態(tài)寄生蟲生成的惡意文件往往是asp/php后綴文件；而靜態(tài)寄生蟲程序生成的頁面往往都是固定不變的內(nèi)容，大多為html后綴文件。寄生蟲模板寄生蟲程序生成的頁面往往都是有固定模板的，模板的好壞有時(shí)也決定了是否能夠被搜索引擎快速收錄，以下是我收集的兩種寄生蟲程序生成的模板頁面。

寄生蟲模板案例一：

寄生蟲模板案例二：

靜態(tài)寄生蟲掛二級(jí)目錄案例案例來自去年處理的一起入侵檢測(cè)事件，我們發(fā)現(xiàn)目標(biāo)網(wǎng)站上被掛了非法推廣頁面，如下圖所示：

通過登錄web服務(wù)器查看，我們發(fā)現(xiàn)了網(wǎng)站根目錄下多了一個(gè)二級(jí)目錄ds，而ds目錄內(nèi)放滿了html文件，都是通過寄生蟲生成的。（由于時(shí)間久遠(yuǎn)，html樣本文件已丟失）

通過登錄服務(wù)器日志分析，我們最終發(fā)現(xiàn)黑客是通過web應(yīng)用程序漏洞獲取到了服務(wù)器權(quán)限，并在該服務(wù)器上利用靜態(tài)寄生蟲程序創(chuàng)建了大量惡意的html后綴文件，并存放在ds目錄下，其利用的便是高權(quán)重網(wǎng)站二級(jí)目錄手法。以上占用大量篇幅介紹了很多黑帽seo的手法，也介紹了寄生蟲程序這一自動(dòng)生成網(wǎng)頁文件的利器。那么黑帽seo是如何讓這些非法頁面快速被搜索引擎收錄的呢？我們知道如果這些惡意推廣的頁面無法被搜索引擎收錄，那么黑帽SEO就達(dá)不到預(yù)期的效果。起初在研究黑帽seo時(shí)我也一直在思考這個(gè)問題，按常理搜索引擎不應(yīng)該會(huì)收錄具有惡意內(nèi)容的推廣頁面，而事實(shí)是目前我們隨便在百度上搜site:.博彩或者site:.色情，就會(huì)出現(xiàn)一大批被掛上博彩色情的政府教育機(jī)構(gòu)網(wǎng)站。顯然這些頁面目前還是能夠很好地被搜索引擎收錄，甚至能很快被收錄，我曾經(jīng)發(fā)現(xiàn)過幾分鐘內(nèi)被收錄的惡意頁面。那么是搜索引擎故意為之，還是有人利用了搜索引擎的某些特征或者說漏洞？要理解這個(gè)問題，我想必須得介紹一下黑帽SEO又一大利器—蜘蛛池。蜘蛛池蜘蛛池是一種通過利用大型平臺(tái)權(quán)重來獲得搜索引擎收錄以及排名的一種程序。原理可以理解為事先創(chuàng)建了一些站群，獲?。ɑ筐B(yǎng)）了大量搜索引擎蜘蛛。當(dāng)想要推廣一個(gè)新的站點(diǎn)時(shí)，只需要將該站點(diǎn)以外鏈的形式添加到站群中，就能吸引蜘蛛爬取收錄。簡(jiǎn)單來說就是通過購買大量域名，租用大量服務(wù)器，批量搭建網(wǎng)站形成站群。而這些網(wǎng)站彼此之間形成鏈輪，網(wǎng)站內(nèi)容大多為超鏈接，或者一些動(dòng)態(tài)的新聞內(nèi)容等。經(jīng)過一段時(shí)間的運(yùn)營，此站群每天就能吸引一定量的搜索引擎蜘蛛，蜘蛛的多少要看網(wǎng)站內(nèi)容搭建的好壞以及域名的個(gè)數(shù)。當(dāng)蜘蛛數(shù)量達(dá)到一個(gè)量級(jí)且穩(wěn)定以后，就可以往里面添加想要推廣的網(wǎng)頁，比如通過黑帽SEO手段創(chuàng)建的非法頁面。這一過程就好比在一個(gè)高權(quán)重網(wǎng)站上添加友情鏈接，會(huì)達(dá)到快速收錄的目的。蜘蛛池交易平臺(tái)我隨便百度了一下，發(fā)現(xiàn)互聯(lián)網(wǎng)上存在很多蜘蛛池交易平臺(tái)，即可通過互聯(lián)網(wǎng)上的蜘蛛池推廣惡意網(wǎng)頁。這種方式省去了自己搭建蜘蛛池的麻煩，卻也為黑帽seo人員提供了便利。在收集資料時(shí)，我挑選了其中一個(gè)交易平臺(tái)，截圖如下：

蜘蛛池站點(diǎn)案例在為本篇文章收集黑帽SEO相關(guān)資料時(shí)，我發(fā)現(xiàn)了一款經(jīng)典的蜘蛛池站點(diǎn)，在此分享。

其特點(diǎn)是內(nèi)容動(dòng)態(tài)生成，刷新頁面發(fā)現(xiàn)內(nèi)容隨機(jī)改變

很明顯此網(wǎng)站內(nèi)容都是通過動(dòng)態(tài)寄生蟲程序生成的，且不斷變化內(nèi)容來增加百度對(duì)其收錄。（百度目前對(duì)原創(chuàng)內(nèi)容的收錄率比較高）幾大搜索引擎收錄情況百度搜索引擎收錄情況：

谷歌搜索引擎收錄情況：

bing搜索引擎收錄情況：

搜狗搜索引擎收錄情況：

通過對(duì)比幾大常用搜索引擎對(duì)此蜘蛛池站點(diǎn)的收錄情況，我們不難看出這套蜘蛛池程序目前只對(duì)百度搜索引擎爬蟲有效。當(dāng)然78條的收錄量對(duì)于一個(gè)蜘蛛池站點(diǎn)來說不算很高，說明百度對(duì)此手段已有所防范黑帽SEO剖析之隱身篇隱身的技術(shù)在處理的一些入侵應(yīng)急響應(yīng)事件中，我們發(fā)現(xiàn)有些網(wǎng)站被掛惡意頁面達(dá)數(shù)月甚至數(shù)年之久，而在此期間管理員竟然毫無察覺。有時(shí)這并非是管理員的粗心大意，而是黑客過于狡猾。在了解了我之前所介紹的網(wǎng)頁劫持手段后，我想你大概能了解這其中的緣由了，網(wǎng)頁劫持能控制跳轉(zhuǎn)控制頁面呈現(xiàn)的內(nèi)容，這便是難以被管理員發(fā)現(xiàn)的主要原因。除此之外，寄生蟲程序能夠自動(dòng)生成網(wǎng)頁也使得其生存能力很強(qiáng)，不易被根除。其次我們?cè)诎l(fā)現(xiàn)網(wǎng)站被掛惡意網(wǎng)頁后，通常會(huì)登錄服務(wù)器進(jìn)行查看，而有時(shí)我們很難找到被非法篡改或者被惡意植入的腳本文件，因?yàn)榇祟愋臀募缓诳途牡仉[藏了起來。那么除了上述手段之外，黑客還有哪些手段來隱藏自身，使之生生不滅？網(wǎng)頁劫持控制跳轉(zhuǎn)網(wǎng)頁劫持中的控制跳轉(zhuǎn)就是為了隱藏網(wǎng)站已被入侵的事實(shí)，讓網(wǎng)站管理員不容易發(fā)現(xiàn)。nginx二級(jí)目錄反向代理技術(shù)通過配置nginx/apache等中間件配置文件設(shè)置目錄代理，將服務(wù)器上某個(gè)目錄代理到自己搭建服務(wù)器上的某個(gè)目錄。即瀏覽者在打開thief.one/2016/目錄時(shí)，實(shí)際訪問到的資源是自己服務(wù)器上的某個(gè)目錄（目標(biāo)服務(wù)器會(huì)去自己服務(wù)器上拿數(shù)據(jù)）。這種手法不需要修改目標(biāo)服務(wù)器網(wǎng)站源碼，只需要修改中間件配置文件，不易被刪除也不易被發(fā)現(xiàn)。隱藏文件給文件設(shè)置屬性隱藏。我曾經(jīng)遇到過此類事件，當(dāng)時(shí)我們一個(gè)技術(shù)人員通過肉眼選擇了服務(wù)器上一批web目錄下的文件進(jìn)行copy。而當(dāng)我們對(duì)這些文件進(jìn)行掃描時(shí)，并未發(fā)現(xiàn)任何異常，一切都變得匪夷所思。而最后的結(jié)果讓我們哭笑不得，原來惡意文件被設(shè)置成了屬性隱藏，通過肉眼觀察的技術(shù)人員并沒有將此文件copy下來，因此這也算是一種有效的障眼法。不死文件不死文件指的是刪除不了的webshell或者是非法頁面文件（.html或者動(dòng)態(tài)文件），此類事件在實(shí)際中沒有遇到過，但理論上確實(shí)可行。設(shè)置畸形目錄目錄名中存在一個(gè)或多個(gè).(點(diǎn)、英文句號(hào))1mda..\該目錄無法被手工刪除，當(dāng)然命令行可以刪除1rd/s/qa..\特殊文件名其實(shí)是系統(tǒng)設(shè)備名，這是Windows系統(tǒng)保留的文件名，普通方法無法訪問，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt、aux.txt，aux.pa