黑帽SEO剖析之工具篇

新聞 10-07

此系統文章總共分為四篇，分別是手法篇、工具篇、隱藏篇、總結篇；本篇為工具篇，主要介紹黑帽seo中經常使用到的一些工具，及其用途。　　

搞黑帽SEO往往都是批量操作，因此自動化工具不可或缺，也是整個黑產環中比較重要的一環。本篇將會介紹幾款黑帽seo中常用的工具，由於本篇寫於一年前，因此部分工具可能已淘汰或者升級。

寄生蟲（jsc)

植入寄生蟲是黑帽SEO常用的一種方法，通過侵入別人網站，植入寄生蟲程序，自動生成各種非法頁面。之所以叫做寄生蟲是因為能夠自己觸發生成，而不是一次生成，例如在訪問網頁的時候觸發，自動生成頁面且形成鏈輪等。簡單來說，寄生蟲是一種程序，此程序的功能是能夠自己創建網頁文件，而創建的條件可以定製，比如說當有人訪問某個頁面時就會觸發寄生蟲程序生成一批新的網頁文件，或者每天定時創建等等。

我曾經在給一個客戶處理應急響應事件時，便遇到過此類狀況。每當我清理完所有惡意網頁文件後，伺服器上都會不時地自動生成一大批新的網頁文件。令人頭疼的是，當時我完全掌握不了生成新文件的規律。後來我們在一一排除web伺服器上的文件時，發現了其中一個惡意的動態語言文件（由於種種原因，樣本沒有保留下來），此惡意文件就是類似寄生蟲程序，會在我們訪問此網站的某個頁面觸發，生成一批新的惡意頁面。

寄生蟲分類

寄生蟲分為動態與靜態，動態寄生蟲程序的就是會不斷自動生成新的頁面（如我上面所述案例），或者是刷新頁面以後自動變化內容，動態寄生蟲生成的惡意文件往往是asp/php後綴文件；而靜態寄生蟲程序生成的頁面往往都是固定不變的內容，大多為html後綴文件。

寄生蟲模板

寄生蟲程序生成的頁面往往都是有固定模板的，模板的好壞有時也決定了是否能夠被搜索引擎快速收錄，以下是我收集的兩種寄生蟲程序生成的模板頁面。

寄生蟲模板案例一：

寄生蟲模板案例二：

靜態寄生蟲掛二級目錄案例

案例來自去年處理的一起入侵檢測事件，我們發現目標網站上被掛了非法推廣頁面，如下圖所示：

通過登錄web伺服器查看，我們發現了網站根目錄下多了一個二級目錄ds，而ds目錄內放滿了html文件，都是通過寄生蟲生成的。（由於時間久遠，html樣本文件已丟失）

通過登錄伺服器日誌分析，我們最終發現黑客是通過web應用程序漏洞獲取到了伺服器許可權，並在該伺服器上利用靜態寄生蟲程序創建了大量惡意的html後綴文件，並存放在ds目錄下，其利用的便是高權重網站二級目錄手法。　　

以上佔用大量篇幅介紹了很多黑帽seo的手法，也介紹了寄生蟲程序這一自動生成網頁文件的利器。那麼黑帽seo是如何讓這些非法頁面快速被搜索引擎收錄的呢？我們知道如果這些惡意推廣的頁面無法被搜索引擎收錄，那麼黑帽SEO就達不到預期的效果。起初在研究黑帽seo時我也一直在思考這個問題，按常理搜索引擎不應該會收錄具有惡意內容的推廣頁面，而事實是目前我們隨便在百度上搜site:.gov.cn 博彩或者site:.edu.cn 色情，就會出現一大批被掛上博彩色情的政府教育機構網站。顯然這些頁面目前還是能夠很好地被搜索引擎收錄，甚至能很快被收錄，我曾經發現過幾分鐘內被收錄的惡意頁面。那麼是搜索引擎故意為之，還是有人利用了搜索引擎的某些特徵或者說漏洞？要理解這個問題，我想必須得介紹一下黑帽SEO又一大利器—-蜘蛛池。

蜘蛛池

蜘蛛池是一種通過利用大型平台權重來獲得搜索引擎收錄以及排名的一種程序。原理可以理解為事先創建了一些站群，獲取（豢養）了大量搜索引擎蜘蛛。當想要推廣一個新的站點時，只需要將該站點以外鏈的形式添加到站群中，就能吸引蜘蛛爬取收錄。簡單來說就是通過購買大量域名，租用大量伺服器，批量搭建網站形成站群。而這些網站彼此之間形成鏈輪，網站內容大多為超鏈接，或者一些動態的新聞內容等。經過一段時間的運營，此站群每天就能吸引一定量的搜索引擎蜘蛛，蜘蛛的多少要看網站內容搭建的好壞以及域名的個數。當蜘蛛數量達到一個量級且穩定以後，就可以往裡面添加想要推廣的網頁，比如通過黑帽SEO手段創建的非法頁面。這一過程就好比在一個高權重網站上添加友情鏈接，會達到快速收錄的目的。

蜘蛛池交易平台

我隨便百度了一下，發現互聯網上存在很多蜘蛛池交易平台，即可通過互聯網上的蜘蛛池推廣惡意網頁。這種方式省去了自己搭建蜘蛛池的麻煩，卻也為黑帽seo人員提供了便利。在收集資料時，我挑選了其中一個交易平台，截圖如下：