반대로 검은 자습서 웹 마 스 터: 검색 엔진 하이재킹 공격 처리 방법

중간 거래 SEO 진단 Taobao 게스트 클라우드 호스트 기술 홀

많은 웹사이트는 현재 매우 일반적인 해커 공격 방법 인 검색 엔진에 의해 납치 되었습니다. 백그라운드에서 웹 마 스 터가 검색 되지 않으면, 하지만 검색 엔진에서 결과 볼 수 있습니다. 이러한 결과 정보를 오픈 하지만 도박, 거짓 광고, Taobao 검색 페이지 및 다른 사이트 이동을 가리킵니다. 이 상황의 결과 심각한.

사용자 변동: 귀하의 사이트 SEO 최적화의 많은 일 하고있다 또는 입찰 순위, 사용자가 검색 엔진을 통해 당신을 찾을 이상 수,이 슬픈 건.

사이트 차단: 사이트로 인 한 일부 불법 사이트를 납치 하는 경우 사이트는 불법, 도박 또는 악성 코드로 표시 수에 다양 한 브라우저와 검색 엔진 "악의적인 웹 사이트"로 표시 된 직접 직접 차단 하기. 세상에서 가장 고통 스러운 것이, 나는 좋은 사람, 특별 한, 하지만 흐린 했다...

낮은 신뢰성: 몇 년 동안 고심 웹 사이트 설정 명성을 쉽지 않다. 일단 해킹, 날 납치 했다. 다음에서 검색 엔진을 통해 귀하의 사이트를 열고 사용자가 아니다 포르노 도박 이다. 정상적인 업무 무관, 또한 어떤 신뢰성과 입의 단어 들에 대해 이야기 하지 않습니다.

때 stationmaster 만남 검색 엔진 납치 해결 하는 방법? 하지 공황, 여기 내가 먼저 제공 솔루션의 두 종류: 세부 사항에,이 문서를 읽어 보시기 바랍니다 또는 직접 qq:800034239에 게 연락, 찾을 아름다움 보안 전문가 일대일 상담.

실제 검색 납치 사건

어제, 전날 밤 발견, 웹 마 스 터 사이트 검색 결과 페이지는 공중 납치 했다. 네티즌 생각은 도박 웹사이트, 유치 금지를 각도 이다. 내가 일 하는 오늘,이 사용자는 사이트를 청소 하는 데 도움이 하지만 또한 그를 사이트 보호 시스템의 가디언 가입을 초대. 다음은 웹 마 스 터 참조에 대 한 문제 해결의 전체 과정입니다.

현장 재현: 바이 입력에서 사용자: 사이트: 웹사이트 도메인 이름. 검색 결과 페이지에서 검색 결과의 하지만 게임 사이트 이동 클릭 후 즉시 많은 볼 수 있습니다. (아래 사진)

자세한 쿼리 결과 아래와 같이:

첫 번째 단계: 납치의 방법으로 판단

이 단계는 주로 현재 납치 JavaScript 코드 또는 php/asp 등 스크립트 코드를 통해 구현 됩니다 여부를 결정 합니다.

열기 피 들러, 먼저 다음 HTTP 요청 중단점 F11 누르고 바이 결과 페이지, 피 들러 보고 요청을 클릭. 오른쪽에 있는 녹색 버튼을 클릭 합니다.

각각의 클릭에 요청을 전달 합니다. 3 단계 하이재킹이 검색 엔진을 보고 결과에서이 시간에 우리가 그릴 수 결론: 사이트 납치의이 케이스는 납치, 납치 과정 다음 그림에 표시 된 대로 달성 하기 위해 PHP 프로그램 코드를 통해

바이 링크에서 것 이다이 이번에 자체, 사용자 사이트에 점프 하지 직접 모든 JS와 CSS와 다른 리소스를 로드 하 고 게임 사이트에 점프.

게임 사이트에 사용자가 사이트에서이 이동은 어떻게? 원리는 아주 간단, 다음 그림을 봐 주세요:

이 점프에 대 한 HTTP 요청 코드는 302, 위치를 통해 게임 사이트로 이동 합니다. 사이트가 사용 하는 PHP 프로그램, 때문에 헤더를 통해 PHP에서 () 함수를 얻을 수 있습니다 페이지 리디렉션.

2 단계: 의심 스러운 코드를 발견

이제 당신이 알고 있는 납치 및 대상 게임 사이트의 원리, 악성 코드를 감지 하기가 쉽습니다. 사용자의 서버는 windows2003, 그리고 원격 연결을 찾을 수 있습니다 쉽게 윈도 즈 시스템에서 FINDSTR 명령 사용 하 여 텍스트의 파일 위치. 이 경우에 우리는 단지 어떤 파일은 86896 키워드를 필요 합니다. 명령줄 쿼리 명령을 다음과 같이 생성:

FINDSTR/S/제가 "86896" d:\web\xxx.org\*.php

키워드는 사이트의 루트 디렉터리에 있는 모든 PHP 파일을 탐색 하 고 "86896" 문자를 포함 하는 파일 찾기 웹 사이트의 루트 디렉터리에 선행 된다. 이 명령을 실행 하려면 우리는 다음과 같은 결과 출력을 얻을 수 있습니다.

결과 통해 볼 수 있습니다 명확 하 게, 해커 사이트 침공과 Discuz 포럼 \source\class\class_core.php 납치 위치 점프 악성 코드를 구현에 추가 된이 파일에이 코어 파일을 수정.

이식 하는 해커가 악성 코드는 상대적으로 "작은 흰색", 어떤 암호화 및 숨겨진된 다른 수단 없이 직접 키워드를 통해 이다. 아래와 같이 악성 코드를 완료:

3 단계: 삭제 코드

위의 악성 코드는 모든 사용자 에이전트의 기능 및 Referer 검색 엔진 정보 사이트 액세스 요청 콘텐츠 모든 PHP 코드의이 섹션을 삭제 하는 사용자를 위해 도박 사이트로 납치를 포함, 사이트는 즉시 정상으로 다시.

요약

이 사건을 통해 분석 볼 수 있습니다,이 검색 엔진 트래픽 가로채기 공격 기술 콘텐츠는 너무 심오한, 두 단계를 통해: 스크립트입니다 경우 우선, 경우 JS 코드 납치, 납치 모드를 판단 하는 라인을 삭제 하 악성 JS 코드를 찾을;이 문서에서 설명 하는 방법을 참조 하십시오 납치, 두 번째 파일에 악성 코드, 악성 코드 삭제 FINDSTR (윈도우) 명령 또는 서버에 grep (리눅스) 명령을 사용 하는 것입니다. 희망 웹 마 스 터의 대부분에이 문서의 도입을 통해 이러한 해커에 응답할 수 있어야 공격 도움말

또한, 도구는 분석에 사용: 피 들러 (Www.telerik.com/fiddler), 많은 국내 다운로드 스테이션 수 있습니다이 도구까지.