QQ love member No. 3 seed player

know it then do it && APT086&QQ愛安全实验室成员

SEO-浅入培析-Note

20 Jun 2019 » SEO

[TOC]

前言

​ 通过了解各类搜索引擎 抓取互联网页面、进行索引以及确定其对特定关键词搜索结果排名等技术,来对网页进行相关的优化,使其提高搜索引擎排名,从而提高网站访问量,最终提升网站的销售或宣传的效果。

暗链

​ 绝大多数搜索引擎认为当一个网站被多个网站引用(链接)时,则该网站内容质量较高,被网友广为传诵,于是在搜索引擎搜索结果排名中,该网站排名自然上升。

1.通过将display属性设置为none等使得链接信息不可见。

2.通过将链接字符无限小,达到肉眼不可见。

3.通过使链接字符与网页背景色一致或相似,达到链接不可见。

4.通过链接位置定位,使得链接出现至可见屏外,达到暗链效果。

<!-- 暗链,跑马灯的方式隐藏暗链 -->
<marquee height=1 width=4 scrollamount=3000 scrolldelay=200000><a herf="http://www.xxxxx.com/">XXXX娱乐网</a></marquee>

流量劫持

  1. 流量劫持会判断来路引擎,从指定搜索引擎点击的时候才会跳转,直接从URL输入网址是正常打开的。
<script LANGUAGE="Javascript">
var s=document.referrer
if(s.indexOf("google")>0 || s.indexOf("baidu")>0 || s.indexOf("yahoo")>0 || s.indexOf("sougou")>0 || s.indexOf("360")>0 || s.indexOf("bing")>0 || s.indexOf("so")>0) 
	location.href="http://www.xxxxx.com";
</script>

// indexOf() 方法可返回某个指定的字符串值在字符串中首次出现的位置。

// 如果没有找到匹配的字符串则返回 -1。

// 注意: indexOf() 方法区分大小写。
  1. 隐藏到js中

document.writeln("var s=document.referrer"); 

document.writeln("if(s.indexOf(\"google\")>0 || s.indexOf(\"baidu\")>0 || s.indexOf(\"yahoo\")>0 || s.indexOf(\"sougou\")>0 || s.indexOf(\"360\")>0 || s.indexOf(\"bing\")>0 || s.indexOf(\"so\")>0)"); 

document.writeln("location.href=\"https://www.xxxxx.com/\";");

// 可以进行js加密的方式

Status code 301

PHP

<?php
header("HTTP/1.1 301 Moved Permanently");
header("Location: http://www.baidu.com");
exit();
?>

HTML

<meta http-equiv="refresh" content="0; url=http://www.baidu.com">

ASP

<%
Response.Status="301 Moved Permanently"
Response.AddHeader "Location","http://www.baidu.com"
Response.End
%>

JavaScript

<script language="javascript">
top.location='http://www.baidu.com';
</script>

301 和 302 的区别 ?

302重定向只是暂时的重定向,搜索引擎会抓取新的内容而保留旧的地址,因为服务器返回302,所以,搜索搜索引擎认为新的网址是暂时的。

而301重定向是永久的重定向,搜索引擎在抓取新的内容的同时也将旧的网址替换为了重定向之后的网址。

总结

​ 造成这种问题的网页中绝大多数都是建立在网站被getshell的基础上的,也就是说网站存在明显的漏洞,或者存在xss漏洞,在修复的代码的时候要看到后台或服务器日志去寻找漏洞存在点进行修复。

Tag: 删除完被植入的恶意代码之后,提交快照使网站尽快恢复正常

建议:

  1. 安装国内外主流的waf/杀软(火绒)

  2. 删除恶意的js代码还有遗留的后门文件(可以通过修改文件时间来查看)
  3. 更改默认后台,将密码修改为强密码
  4. 排查进程是否有可疑的,找到进程文件,然后结束进程。
  5. 查看服务器是否被打开可疑端口
  6. 查看服务器是否遗留后门(检查注册表,可疑用户,禁用Guest用户)
  7. 对服务器进行基线安全加固

📅 2019-07-07 Update …