• 欢迎访问老司机不开车的博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入 TG群 QQ群
  • 老司机提醒您:回复"666666"无需人工审核,即可查看文章!Gmail邮箱的都需要审核!
  • 禁止带HTTP连接和联系方式广告留言。所有含有日文以及英语的评论已经屏蔽。
  • 廣告招租!衹接受比特幣和萊特幣付款。廣告沒有限制!有意向聯係 TG_1024
  • 本站的目的是仅仅是科普知识,绝对没有其他任何用意!请遵守当地相关法律法规!
  • 禁止复读机行为!第一次删除账号,第二次封IP。

老司机不开车之黑帽SEO 隐身篇

SEO 老司机 12个月前 (01-26) 370次浏览 0个评论

此系统文章总共分为四篇,分别是手法篇工具篇、隐身篇、总结篇;本篇为隐身篇,主要介绍黑帽 seo 中一些隐身的手段。黑帽seo与其他黑产行为不同的是,它需要时间去创造价值。如果是倒卖数据,只需要入侵服务器脱裤走人,而黑帽seo 需要潜伏在服务器上一段时间,因为它主要靠引流来创造价值。那么如何做到不被服务器运维发现就至关重要了,也是黑帽seo行为是否能最终成功的关键。

隐身的技术

在处理的一些入侵应急响应事件中,我们发现有些网站被挂恶意页面达数月甚至数年之久,而在此期间管理员竟然毫无察觉。有时这并非是管理员的粗心大意,而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后,我想你大概能了解这其中的缘由了,网页劫持能控制跳转控制页面呈现的内容,这便是难以被管理员发现的主要原因。除此之外,寄生虫程序能够自动生成网页也使得其生存能力很强,不易被根除。其次我们在发现网站被挂恶意网页后,通常会登录服务器进行查看,而有时我们很难找到被非法篡改或者被恶意植入的脚本文件,因为此类型文件被黑客精心地隐藏了起来。那么除了上述手段之外,黑客还有哪些手段来隐藏自身,使之生生不灭?

网页劫持控制跳转

网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实,让网站管理员不容易发现。

ps:相似案例

老司机不开车之黑帽 SEO 浏览器来路劫持+地区 ip 劫持 JS 版本

nginx 二级目录反向代理技术

通过配置 nginx/apache 等中间件配置文件设置目录代理,将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开 thief.one/2016/目录时,实际访问到的资源是自己服务器上的某个目录(目标服务器会去自己服务器上拿数据)。这种手法不需要修改目标服务器网站源码,只需要修改中间件配置文件,不易被删除也不易被发现。

隐藏文件

给文件设置属性隐藏。我曾经遇到过此类事件,当时我们一个技术人员通过肉眼选择了服务器上一批 web 目录下的文件进行 copy。而当我们对这些文件进行扫描时,并未发现任何异常,一切都变得匪夷所思。而最后的结果让我们哭笑不得,原来恶意文件被设置成了属性隐藏,通过肉眼观察的技术人员并没有将此文件 copy 下来,因此这也算是一种有效的障眼法。

不死文件

不死文件指的是删除不了的 webshell 或者是非法页面文件(.html 或者动态文件),此类事件在实际中没有遇到过,但理论上确实可行。

设置畸形目录

目录名中存在一个或多个. (点、英文句号)

1
md a..\

该目录无法被手工删除,当然命令行可以删除

1
rd /s /q a..\
特殊文件名

其实是系统设备名,这是 Windows 系统保留的文件名,普通方法无法访问,主要有:lpt,aux,com1-9,prn,nul,con,例如:lpt.txt、com1.txt 、aux.txt,aux.pasp,aux.php 等。

1
echo hello>\\.\c:\a..\aux.txt
畸形目录+特殊文件名
1
2
md c:\a..\
echo hello>\\.\c:\a..\aux.asp #注意:这里的路径要写绝对路径(上传的 aux.php 木马可以被执行)

删除:

1
rd /s /q \\.\c:\a..\

方法还有很多,不一一列举了。


博主在此发文(包括但不限于汉字、拼音、拉丁字母)均为随意敲击键盘所出,用于检验本人电脑键盘录入、屏幕显示的机械、光电性能,并不代表本人局部或全部同意、支持或者反对观点。如需要详查请直接与键盘生产厂商法人代表联系。挖井挑水无水表,不会网购无快递。博主只是一名普通的互联网从业者,不懂修电脑,不会卖电脑,不会帮你盗号,不会破解开机密码,找不回你丢失的手机等,如有这样的想法请绕道! 丨本网站采用CC BY 4.0协议进行授权 , 转载请注明老司机不开车之黑帽SEO 隐身篇
喜欢 (0)
发表我的评论
取消评论
表情 加粗 删除线 居中

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址