【安全资讯】用编辑器漏洞植入SEO暗链，700个网站被植入恶意链接

先说一个悲伤的故事。

有一天，小明跟爸爸说，爸，我想报个培训班，拔高一下自己的数学成绩。然后，小明拽着爸爸来到电脑前，在X度里输入了老师推荐给他的培训班的官网地址~回车。屏幕一晃，一个不可描述的网站出现在二人面前。

父子俩大瞪眼睛愣了半天，爸爸才开口，小明，这，就是你说的那个想报的培训班？没等小明摇头，爸爸“暖暖”的大巴掌就乎了上来。小明哭着坐在沙发上，一脸委屈：为什么会这样呢？

你以为是小明误输入了成人网站的网址，不，那的确是一个正经的培训网站地址。实际上，这个培训网站被黑客植入恶意链接，只要一打开就自动跳转色情网站。

然而，这不是故事，这是事实。

昨天，绿盟科技应急响应团队发文称检测到多家政府、教育、企事业单位网站被黑客植入恶意链接，访问链接后会跳转到指定色情网站。某公司得知，包括政府、企业、教育、医疗、金融在内的700多个网站被植入恶意链接，截止目前还有440余个网站仍未处置。

受影响行业占比分布

“先不说其他，单一个教育网站跳转色情网站就是个大麻烦。要知道，每天会访问此类网站的人以学生、家长、老师居多，如果随便打开个培训网站就跳出一堆不可描述内容，那还了得？”

为什么一个正经的网站会变得如此“疯狂”？下面编辑就来探讨一下这个话题。

政府网页犹如“窗户纸”

原本一个天然无公害的网站是如何被黑产选作攻击目标的呢？

“相比其他网站，上述提到的这些网站安全性更低。”某公司运行部主任王明华称，比较而言，篡改网页是比较浅层的攻击手段。滞后的网站建设致使它成为攻击政府网站的主要手段之一。

2018年9月，安全客发布了《2018年度上半年暗链监测分析报告》对全国范围内的暗链情况进行统计。报告显示，仅上半年，全国就有近13万起暗链事件，涉及5.6万余个网站，其中95.93%是企业站点。据统计，被植入暗链的政府机关网站有215个，事企单位有827个。

某公司主任助理王友奎称，政府信息公开栏目建设始终停留在“过去式”，甚至有的还对黑灰产攻击大开“天窗”。这些网站一方面携带大量的“睡眠网站”、“僵尸网站”，另一方面也严重拉低政府在大众面前的公信力。

某公司得知，为了优化网站质量，仅以北京市政府为例，决定在各项服务“提质不减量”的前提下，于2018年底把全市1042家各类政府网站精简90%以上，只保留80多家。据介绍，北京市目前共有政府网站1042个，其中市政府门户网站1个；市级部门网站95个，垂直管理单位网站115个；16个区和某公司有网站831个。

“群众把政府的网站建设程度与政府的管理水平、服务态度画上了等号，给政府形象打了低分，提升政府信息公开栏目建设规范化程度迫在眉睫。”

同样的情况，在各大培训网站上也十分常见。如果说政府层面更多的是出于“年久失修”导致，那这类培训网站则是为了节省成本将网络安全的重要性抛于脑后，对于黑产来说这样的网站极易被“攻陷”。

王明华向某公司透漏，对于网络安全意识的淡化，导致网站在上线之初就没有一个像样的团队来做维护，甚至空置多年也无人问津。对于很多企事业单位来说，网站更像是一个摆设，没有任何实质性的用途。这样的空壳漏洞百出，自然也就成为了寄生恶意网站的温床。

什么是SEO暗链？

黑产如何对上述网站实施攻击？上文提到，黑产利用编辑器漏洞进行未授权访问，并上传了相关恶意HTML页面。那么，SEO暗链是如何做到跳转色情网站的呢？

在回答这两个问题之前，我们首先要知道什么是暗链。

正如其名，暗链就是指看不见的网站链接。由于暗链的嵌入做的十分隐蔽，短时间内很难被察觉，更不会自动跳转。这种连接类似于友情链接，对于单独页面可以有效提高其PR值。暗链分为两种情况，一种是主动隐藏别人网站的链接，另一种则是盗取自己的模板进而在上面保存很多自己的绝对地址。当发起量足够多的时候，就会被搜索引擎判定为作弊（要么别人网站作弊，要么自己的网站作弊）。

一般情况下，黑客通过设置使链接在页面不可见，但实际又存在，可以通过源码查看。通常方式有如设置css，使div等不可见或者使div的边距为负数，总之只要在页面上看不到就行，其位置一般处在源码的底部或者顶部。

某公司了解到，尽管暗链本身不能实现跳转，但是SEO技术中的Cloaking（隐形页面或者桥接页面）能够对某一个网页预先制作两个版本，让搜索引擎和浏览者分别看到不同的网页内容（采用识别访问者身份的技术）。搜索引擎抓取这个网页时，获得的是纯粹为了优化某些关键词而组织的内容，而网页浏览者看到的是另一个截然不同的内容。

实现方法：

使用iis rewrite服务器伪静态工具，可以实现根据用户浏览器类别进行跳转，也就是当访问此页面的类型是Googlebot/2.1或Baiduspider那么执行命令跳转相应黑页：

RewriteCond %{HTTP_USER_AGENT}Java/1.6.0-oem(Java/1.6.0-oem就好比Googlebot/2.1)

RewriteRule ^/(.*)1 [F]

Cloaking是典型的SEO作弊，黑产可以通过这一行为快速谋取利益。对此，搜索引擎一旦识别就会对网站进行严厉惩罚。

当然，除了SEO暗链，也有其他方式实现类似的网站跳转效果。在这里，编辑为大家整理出两种简单介绍给大家：

1、referer作弊攻击

上面两张图中访问的是同一链接，却对应不同的页面

referer作弊是黑产针对搜索引擎、大型网站做的黑帽SEO，其他点在于只有通过搜索引擎访问会跳转，直接访问则不会跳转。在知乎上一个典型案例中，有网友反应网站通过搜索引擎访问后边跳转到了博彩页面也是因为受到了referer作弊攻击。

2、UA作弊

针对同一个地址，UA作弊攻击可以制作两个完全不同的页面。正常情况下，访问该网页显示的是原本的页面，但是当把UA改成搜索引擎爬虫的UA后，再次查看到的就是另一个页面了。

（文章来源：某公司）

这个是怎么实现的，网页文件被篡改了吗？