关于黑产暗链的分析与看法

1、黑产为什么想要做暗链

以前黑产更多的情况是挂马，直接获取权限抓取肉鸡。但是近些年由于挂马的黑产形式，在各方面的条件影响下，成为了风险高，收益低的方式。暗链是近几年黑色产业链最爱用的获取利益方式之一，其也是黑帽SEO最爱用的方式之一。其最呈现出最明显的方式就是在点击搜索引擎上爬出的正常页面，点击进去跳转到某菠菜，某色情页面。

2、一些疑问

关于一些疑惑，为什么这些黑产人员拿了站点的权限，为什么不直接篡改主站，而是选择子页面。我认为这是趋于SEO的特性，黑产人员主要是为了提高菠菜站点的权重，而不是要一定要让别人点击进菠菜页面。当黑帽SEO得到优化后，就能得到相应的报酬。所以，为了降低风险性，提高回报率，黑产人员没必要直接篡改主站的所有内容，而是只需要挂在子页面下即可达到SEO优化的目的。黑链主要分为前端劫持与服务端劫持前端劫持一般通过JS进行跳转劫持，也有时候会直接通过修改页面内容来进行服务端劫持，也称为后端劫持，一般通过修改asp,jsp,php来进行劫持跳转，一般劫持的脚本页面为conn.php，config，global等全局配置文件。

3、一个JS劫持案例

1、这种网站一搜一大堆 有一些是本来就是博彩页面，一些是伪造的

这里找到一个论文代写的网站

点击某个页面之后会快速跳转其快速查看源代码是在JS中加入了跳转的信息这里主要就是匹配UA信息来进行跳转到博彩页面，但是不管是否为爬虫，都会跳转到博彩页面。

此外，还有博彩网站伪造正规网站被黑的案例，例如在百度快照中可以发现copy了一个学校的官网，以此匹配body中的关键字优化SEO

4、一次简单实战

某公司防火墙提示存在黑链文件，且标准黑链文件链接，如下图

但根据防火墙的提示访问链接则会出现页面不存在的提示

但是当我们使用搜索引擎通过关键字去搜索的时候就会发现访问后，跳转黑链文件

2.2事件原因分析

通过事情的表现，初步判断应该是存在一个劫持跳转的黑链文件，因此先用D盾扫描一下恶意文件，看是否存在恶意后门脚本，为避免将黑链删除后，攻击者立马重新上传，通过D盾扫描，发现两个后门文件

2018-10-24 23:45:16时刻被攻击者上传了一句话木马。可以与菜刀等黑客工具配合使用，之后紧接着在23:52:21时刻又上传大马文件，为了更好的持续性攻击网站，因此，基本上可以确定攻击者思维,通过文件上传或者远程命令执行之类的漏洞，先上传一句话木马，后上传大马，之后再上传黑链脚本。
使用notepad++在整个网站目录下面搜索关键字spider来定位黑链，因为直接访问黑链链接发现并不存在，而从搜索引擎去访问的时候却存在，说明黑链文件判断了访问的来源是否是搜索引擎，而一般这种做法就是来判断UA是否来自搜索引擎，关键字就是spider，搜索后找到黑链文件

通过分析黑链文件，访问文件中的域名www.612170.com/500.html,发现跟之前的黑链跳转的网站一致

5、Tip

一些偶尔可以用来辅助检测暗链的工具
1、http://web.archive.org/
2、http://whois.domaintools.com/
3、http://check.yunsee.cn/
4、SEOquake插件

一些关于暗链的实战文章
1、 https://www.freebuf.com/articles/web/182117.html
2、 https://www.freebuf.com/articles/network/186071.html
3、 https://www.freebuf.com/articles/web/222060.html

6、暗链的隐藏方式

1、 https://www.freebuf.com/articles/web/134370.html
2、 https://thief.one/2016/10/12/%E9%BB%91%E5%B8%BDSEO%E4%B9%8B%E7%BD%91%E9%A1%B5%E5%8A%AB%E6%8C%81/
3、 https://www.sharecodeskill.com/hackers/hackpost/132
客户端劫持：无非就是使用display:none或者color:font-size等字体颜色属性与大小position属性，将内容显示与页面可视范围之外
DIV+JS调用
HTML批量植入
JS劫持跳转
服务端劫持：通用配置文件劫持+dll文件劫持+hook文件劫持

文由微信公众号重生信息安全