案例分析：一次網(wǎng)站被掛黑鏈的分析過程

時間：2023-01-22 09:42:02 | 來源：電子商務

時間：2023-01-22 09:42:02 來源：電子商務

接到客戶消息說在站長工具tool.chinaz.com上用‘網(wǎng)站被黑檢測’檢測到網(wǎng)站異常，根據(jù)提供的線索在站長工具上進行了檢測發(fā)現(xiàn)如下：

很明顯被掛了黑鏈，由于從來沒有做過掛黑鏈的活所以對掛黑鏈的各種技巧不是很懂，第一反應肯定是網(wǎng)站文件被惡意篡改，于是立即檢查網(wǎng)站源文件，在經(jīng)過了一番對比之后沒有發(fā)現(xiàn)明顯異常，但是黑鏈到底是從哪里來的呢?

再次查看站長工具給出的檢測結(jié)果，發(fā)現(xiàn)下面的正常訪問模擬結(jié)果的頁面是正常的，而上面出現(xiàn)的異常結(jié)果是通過模擬搜索引擎出來的，仔細看異常結(jié)果里面，直接寫明了Baiduspider，到這里大概意思就清楚了：當百度爬蟲過來的時候，會給出黑鏈，但是不會影響正常用戶的訪問，以此來達到隱蔽的目的。

那我們也來模擬一下看看這個檢測結(jié)果是否準確：

curl xxx.com 得到如下結(jié)果，顯示正常：

那我們再來模仿一下baiduspider：

curl -A "Baiduspider" xxx.com ,這是得到如下結(jié)果：

結(jié)果證明我們的猜測是成立的，但是既然網(wǎng)站源代碼沒有被修改，到底是哪里鉆出來的黑鏈呢?既然黑鏈是根據(jù)爬蟲類型來的，那么

我們直接根據(jù)爬蟲的關鍵字來查找：

grep -ri baiduspider web_root_master

這個時候終于發(fā)現(xiàn)問題所在了，在global.asax文件里面藏了一大段js腳本，由于客戶的網(wǎng)站程序是.NET開發(fā)的所以之前在win環(huán)境下做的對比，開始時也發(fā)現(xiàn)了global.asax文件，但是win下面用文本編輯類軟件打開的時候只看到一片空白，其實真正的代碼部分是隱藏在幾百行。

下面，正好巧妙的利用了一般人不細心以及圖形界面下面打開文檔先顯示第一部分空白的弱點，這段代碼如下：

.NET程序的運行的時候如果默認網(wǎng)站根目錄下有g(shù)lobal.asa或者二global.asax文件，那么會當做全局文件優(yōu)先加載，而這一點估計也是廣大掛馬掛黑鏈玩家最愛使用的伎倆。這段js的作用只針對百度爬蟲，難怪我用百度搜索技術(shù)文檔從來就沒準確過，太針對了。

同時我們也注意到掛黑鏈的內(nèi)容來源使用了一個第三方域的html文件，這一點的聰明之處就在于掛黑鏈者可以根據(jù)情況來實時調(diào)整黑鏈內(nèi)容，甚至有的專業(yè)的估計早已實現(xiàn)了黑鏈內(nèi)容的動態(tài)更新。我所碰到的網(wǎng)站也僅僅是他們一批次動作的無數(shù)受害者之一。

我們還注意到了黑鏈內(nèi)容的來源網(wǎng)站，要是精力再旺盛點的話我恨不得把他這個點給打掉，不過還好，估計anquan.org和360網(wǎng)站安全中心對這樣的非法信息網(wǎng)站是有興趣的。

文章來源：世紀東方()，轉(zhuǎn)載請標明地址，謝謝。