写在前面
公司网站一直托管在第三方,因为只起到展示作用我也很少关注到,上周突然被监管告知网站”有赌博相关链接“。看到通知的时候有点满头大汗了,前几周我才刚做过一次渗透和攻击面收敛,怎么没过多久就被通告了。
根据描述大概可以判断是暗链,晚饭吃一半赶紧赶回公司,在团队师傅帮助下没多久就找到了暗链位置,赶紧对接第三方在接到通知两小时内完成了修复。
知己知彼,百战不殆。事后专门收集资料看了很多文章,又做了一些总结,就有了这篇文章(以隐藏型暗链为主)。安服渗透的师傅们也可以将暗链的排查作为网站渗透checklist中的一部分。
目录
0x01 暗链是什么0x02 暗链的分类0x03 暗链的危害0x04 常见暗链隐藏方式0x05 暗链排查方式0x06 暗链处理0x07 参考
暗链是什么
喜欢但不让你知道是暗恋,黑你但不让你察觉是暗链。
暗链,是指看不见但是却被搜索引擎计算权重的外链。暗链的实现方式,是通过漏洞利用、网站后台控制等方式,在网站中植入包含攻击者链接的恶意代码。在网站维护人员和访客没有察觉的情况下,通过网站一次次被加载而高效率提升排名。这些外链,常常是违法的赌钱、情色、行骗网站。因为有些暗链只想提升在百度、谷歌等的排名,为了更好地隐藏,只有使用百度、谷歌爬虫的User-agent才能发现。
通俗点说,大多数情况下,网站被植入暗链是无感的。而攻击者通过网站的正常加载,偷偷发育,提升其链接的排名。
暗链的分类
JS引入型暗链——通过修改网站title,引入外部JavaScript代码来将暗链植入被害网站,当用户通过搜索引擎搜索特定关键字时(你懂的)进入该网站,通过引入的外部JavaScript代码实现跳转到非法网站。
html隐藏型暗链——通过css或者JavaScript代码隐藏暗链,通常是通过position为负数,或者将display设置为none等方式来隐藏,目的是为了提升非法网站的SEO排名。
很多文章把这两类暗链混为一谈,这篇文章看到第一篇有分类的,分类原文见:
https://mp.weixin.qq.com/s/fE3pmn6X8_KVoAugb--3tQ本文重点是html隐藏型暗链,直接跳转到非法网站很容易发现。而隐藏型暗链是绝大多数时候无感,然后莫名其妙就被监管单位警告了。
暗链的危害
1、组织单位社会形象严重受损
存在漏洞的搜索引擎权重或者PR较高的网站容易被植入博彩、色情、游戏等黑链,当访问者点击被挂黑链网站时,会被引导到相关的博彩、色情网站,使组织单位的社会形象受损,网站运营者甚至要承担相应的法律责任。
2、严重影响网站的推广
被挂黑链网站由于存在太多单向链接,会造成网站快照更新慢、网站排名下降等问题。而网站一旦被搜索引擎发现黑链行为,会被降权或者从关键词排名剔除,非常损害网站的推广。
常见暗链隐藏方式
1、无内容的a标签
2、链接位于页面可见范围之外
3、字体颜色设置为与背景色同色的暗链
4、使用极小字体隐藏
5、通过JS限制,只有UA头符合手机、谷歌、百度,才会显示暗链。
6、div 中使用display:none 直接来隐藏链接
通过HTML实现<div style="display:none;"><a href=http://XXXXXX.one/ >暗链</a></div>通过JS实现<script language="javascript" type="text/javascript">document.write("<div style='display:none;'>");</script><div><script language=javascript>document.getElementById("anlian").style.display="none"</script>
7、跑马灯 marquee 属性,链接以跑马灯形式迅速闪现
<marquee height=1 width=5 scrollamount=3000 scrolldelay=20000><a href=http://XXXX.one >暗链</a></marquee>暗链排查方式
1、在线友链检查
https://link.chinaz.com/https://link.aizhan.com/
下图三个地方都分别选中检测,不同UA头识别出来的内容可能不同。
2、网站HTML代码检查
黑客通常将暗链挂在网站首页的头部和尾部,尝试使用百度和谷歌的UA头分别打开网站后F12查看有无异常链接。
3、网站JS代码检查
抓包观察,查看是否加载可疑JS。
4、暗链检查工具
暗链处理
排查后台是否使用弱口令,查看后台登录操作日志排查。
网站漏洞排查与修复。
检查服务器是否被入侵,清除暗链代码、网站后门及服务器后门。大多数暗链都是在网站被黑客攻击后植入的,所以修复安全漏洞、消除后门是防止黑链入侵的根本。通过简单删除暗链代码,黑客仍然可以通过漏洞或后门闯入一个站点,再次植入暗链。
参考
http://www.chinamssp.com/news1/shownews.php?id=81https://cloud.tencent.com/developer/article/1091950https://mp.weixin.qq.com/s/fE3pmn6X8_KVoAugb--3tQhttps://mp.weixin.qq.com/s/mvL6Xc7-EiLa6ZipPh3kag
写在最后
本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
