案例分析：一次網站被掛黑鏈的分析過程

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

接到客戶消息說在站長工具tool.chinaz.com上用‘網站被黑檢測’檢測到網站異常，根據提供的線索在站長工具上進行了檢測發現如下：

很明顯被掛了黑鏈，由於從來沒有做過掛黑鏈的活所以對掛黑鏈的各種技巧不是很懂，第一反應肯定是網站檔被惡意篡改，於是立即檢查網站原始檔案，在經過了一番對比之後沒有發現明顯異常，但是黑鏈到底是從哪裡來的呢?

再次查看站長工具給出的檢測結果，發現下面的正常訪問類比結果的頁面是正常的，而上面出現的異常結果是通過類比搜尋引擎出來的，仔細看異常結果裡面，直接寫明瞭Baiduspider，到這裡大概意思就清楚了：當百度爬蟲過來的時候， 會給出黑鏈，但是不會影響正常使用者的訪問，以此來達到隱蔽的目的。

那我們也來類比一下看看這個檢測結果是否準確：

curl xxx.com 得到如下結果，顯示正常：

那我們再來模仿一下baiduspider：

curl -A "Baiduspider" xxx.com ,這是得到如下結果：

結果證明我們的猜測是成立的，但是既然網站原始程式碼沒有被修改，到底是哪裡鑽出來的黑鏈呢?既然黑鏈是根據爬蟲類型來的，那麼

我們直接根據爬蟲的關鍵字來查找：

grep -ri baiduspider web_root_master

這個時候終於發現問題所在了， 在global.asax檔裡面藏了一大段js腳本，由於客戶的網站程式是.NET開發的所以之前在win環境下做的對比，開始時也發現了global.asax檔，但是win下面用文本編輯類軟體打開的時候只看到一片空白，其實真正的代碼部分是隱藏在 幾百行。

下面，正好巧妙的利用了一般人不細心以及圖形介面下面打開文檔先顯示第一部分空白的弱點，這段代碼如下：

. NET程式的運行的時候如果預設網站根目錄下有global.asa或者二global.asax檔，那麼會當做通用檔案優先載入，而這一點估計也是廣大掛馬掛黑鏈玩家最愛使用的伎倆。 這段js的作用只針對百度爬蟲，難怪我用百度搜索技術文檔從來就沒準確過，太針對了。

同時我們也注意到掛黑鏈的內容來源使用了一個協力廠商域的html檔，這一點的聰明之處就在於掛黑鏈者可以根據情況來即時調整黑鏈內容，甚至有的專業的估計早已實現了黑鏈內容的動態更新。 我所碰到的網站也僅僅是他們一批次動作的無數受害者之一。

我們還注意到了黑鏈內容的來源網站，要是精力再旺盛點的話我恨不得把他這個點給打掉，不過還好，估計anquan.org和360網站安全中心對這樣的非法資訊網站是有興趣的。

文章來源：世紀東方(HTTP://www.51web.com/)，轉載請標明位址，謝謝。