黑帽SEO剖析之隱身篇

新聞 10-09

此系統文章總共分為四篇，分別是手法篇

、

工具篇

、

隱藏篇

、

總結篇；本篇為隱身篇，主要介紹黑帽seo中一些隱身的手段。

黑帽seo與其他黑產行為不同的是，它需要時間去創造價值。如果是倒賣數據，只需要入侵伺服器脫褲走人，而黑帽seo需要潛伏在伺服器上一段時間，因為它主要靠引流來創造價值。那麼如何做到不被伺服器運維發現就至關重要了，也是黑帽seo行為是否能最終成功的關鍵。

隱身的技術

在處理的一些入侵應急響應事件中，我們發現有些網站被掛惡意頁面達數月甚至數年之久，而在此期間管理員竟然毫無察覺。有時這並非是管理員的粗心大意，而是黑客過於狡猾。在了解了我之前所介紹的網頁劫持手段後，我想你大概能了解這其中的緣由了，網頁劫持能控制跳轉控制頁面呈現的內容，這便是難以被管理員發現的主要原因。除此之外，寄生蟲程序能夠自動生成網頁也使得其生存能力很強，不易被根除。其次我們在發現網站被掛惡意網頁後，通常會登錄伺服器進行查看，而有時我們很難找到被非法篡改或者被惡意植入的腳本文件，因為此類型文件被黑客精心地隱藏了起來。那麼除了上述手段之外，黑客還有哪些手段來隱藏自身，使之生生不滅？

網頁劫持控制跳轉

網頁劫持中的控制跳轉就是為了隱藏網站已被入侵的事實，讓網站管理員不容易發現。

nginx二級目錄反向代理技術

通過配置nginx/apache等中間件配置文件設置目錄代理，將伺服器上某個目錄代理到自己搭建伺服器上的某個目錄。即瀏覽者在打開thief.one/2016/目錄時，實際訪問到的資源是自己伺服器上的某個目錄（目標伺服器會去自己伺服器上拿數據）。這種手法不需要修改目標伺服器網站源碼，只需要修改中間件配置文件，不易被刪除也不易被發現。

隱藏文件

給文件設置屬性隱藏。我曾經遇到過此類事件，當時我們一個技術人員通過肉眼選擇了伺服器上一批web目錄下的文件進行copy。而當我們對這些文件進行掃描時，並未發現任何異常，一切都變得匪夷所思。而最後的結果讓我們哭笑不得，原來惡意文件被設置成了屬性隱藏，通過肉眼觀察的技術人員並沒有將此文件copy下來，因此這也算是一種有效的障眼法。

不死文件

不死文件指的是刪除不了的webshell或者是非法頁面文件（.html或者動態文件），此類事件在實際中沒有遇到過，但理論上確實可行。設置畸形目錄目錄名中存在一個或多個. (點、英文句號)

md a..

該目錄無法被手工刪除，當然命令行可以刪除

rd /s /q a..

特殊文件名其實是系統設備名，這是Windows 系統保留的文件名，普通方法無法訪問，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt 、aux.txt，aux.pasp，aux.php等。

echo hello>.c:a..aux.txt

畸形目錄+特殊文件名

md c:a.. echo hello>.c:a..aux.asp #注意：這裡的路徑要寫絕對路徑（上傳的aux.php木馬可以被執行）

刪除：

rd /s /q .c:a..

方法還有很多，不一一列舉了。