黑帽SEO的黑产手段剖析介绍及谬误请谅解

首先，必须说黑帽SEO是一个老话题了。 我不难想象，评论区肯定有人抱怨这个技术已经存在很久了，作者有烫手山芋之嫌。 我同意这个观点，但仔细想想，又感到无奈和不解。 为什么一个早就被用死的黑色产业手段，一个每年都给互联网行业造成巨大损失的黑色手段，并且延续至今？ 是技术上难以突破，还是利益驱使下视而不见的选择？

当我发现公共资源中对这种黑色制作技术的介绍很少，而且不详细时，我就可以想象其中的原因了。 为了营造良好的互联网环境，我将结合实际案例对黑帽SEO的非法手段进行分析和介绍，希望能引起安全界同仁的共鸣，共同抵制。

由于这篇文章写到现在已经有一年了，这期间我已经不再研究相关技术了，如果文章内容有偏差和谬误之处还请大家多多包涵。

插曲：有趣的是，前几天有朋友问我黑帽SEO。 原因是他的一个朋友经营的一个网站，页面上莫名出现赌博内容。 删除后，它自动诞生了，他非常苦恼，向他寻求帮助。

黑帽SEO概念

SEO全称Search Engine Optimization，是指通过站内优化和站外优化来提高搜索引擎排名。 既然有SEO技术，就会有相应的从业者。 他们被称为白帽SEO，专指通过公平的SEO技术帮助提高网站排名的专业人士。

当然，如果有好的，就会有黑色。 由于白帽SEO优化的过程会非常漫长，一个新网站要想获得好的排名，往往需要几年的时间来优化和推广。 因此，一些想要快速提高网站排名的朋友开始研究SEO中的作弊技术，于是黑帽SEO就诞生了。 黑帽SEO是指一种让网站通过作弊或黑客技术快速提高排名的SEO技术，如：黑链接（暗链接）、网站组、网站劫持（搜索引擎劫持）、桥页等，黑帽SEO可以快速提升排名，但毕竟是违法作弊的，很容易被K。

SEO的一些黑技巧

黑帽SEO技术有很多，而且还在不断更新。 最常见的包括利用泛分析建立站群、入侵高权重网站挂暗链接、入侵高权重网站劫持网页、篡改高权重网站网页内容、使用二级目录等将高权重网站作为推广页面、修改nginx配置做目录反向代理等。接下来我会根据实际案例介绍一些常用的方法。

利用泛分析建立泛二级域名网站群

通过DNS泛解析可以快速建立站点群，因为一个一级域名可以派生出无数的二级域名。 当然，一般需要使用网站组工具，因为建立网站组需要很多内容不同的页面，手动创建显然是不可能的。 。 SEO人员煞费苦心建立网站群的目的就是为了快速吸引大量搜索引擎爬虫，提高网站在搜索引擎中的收录率。 以下为某泛二级域名网站群案例截图：

需要注意的是，上图中的二级域名并不是通过DNS解析记录绑定的。 分辨率设置为*，为平移分辨率。 服务器端有程序或代码控制构建不同的二级域名访问时，会返回不同的网页内容，这使得搜索引擎误认为每个二级域名都是一个单独的网站。

泛分析有很多优点，比如人性化（即使输入错误的二级域名也能跳转到目标网站）、可以更快地被搜索引擎收录等。 基于这些优点，很多站长都会选择使用这种方法来增加网站收录。 但如果泛分析运用不当，可能会造成难以想象的危害。

用泛分析做黑品

使用泛分析进行黑帽SEO的方法有很多。 根据是否需要入侵网站和DNS服务器，我将其分为侵入式方法和非侵入式方法。

入侵法则

真实案例：几个月前，我们发现一个重要的政府网站上出现了大量赌博页面。 取证截图如下：

经过分析，我发现这个方法用的是泛分析。 从截图中可以看到，这个政府网站存在大量的二级甚至三级域名。 这些域名是随机构造的，访问后会跳转到赌博网站。 色情等非法页面，而访问一级域名则属于正常内容。 在不分析跳转过程中使用了哪些技术的情况下，仅从泛解析记录中不难看出，该网站的DNS解析记录已被篡改。 我们有理由相信，黑客获得了该域名的DNS解析控制权限，并将该域名泛解析到黑客准备的服务器上。 那么黑客这样做的目的就很明显了，就是让搜索引擎快速收录二级或者三级域名，从而达到将流量引流到非法页面的目的。

通过分析这个政府网站的入侵特征，我们推断这起事件的流程应该是黑客通过入侵获得了政府网站的DNS解析权限（如何获取目前还不知道），然后添加了一个泛-分析记录指出此记录是黑客的准备。 一个好的服务器，并且这个服务器上有动态语言，实现通过不同二级域名访问，返回不同页面结果的功能。 由于政府网站本身权重较高，二级域名页面很快被百度收录，达到非法页面吸引流量的目的。 这种方法的优点是不需要入侵网站，只需获取域名解析权限即可（当然，获取域名解析权限并不容易）。

不侵犯法

真实案例：前几天我们发现某网站（）利用泛分析进行恶意推广。 在检查了网站的特点后，我们尝试构造不同的二级域名进行访问。 取证截图如下。

构建二级域名访问：

最终返回结果：

可以看到返回的结果已经对网页内容和URL进行了处理。 当我们尝试构造不同的二级域名来访问时，发现返回的结果是不同的。 然而，通过获取IP，我们发现它们来自同一台服务器。 首先不难想到这个域名肯定是经过泛解析的，那么它是如何控制网页内容的变化的呢？

查看网页源代码，可以看到目标网页中嵌入了网页源代码。

其实这个技术实现起来并不困难，在服务器上使用代码就可以实现。 首先获取请求的二级域名地址，然后访问二级域名的内容获取源代码并嵌入到自己的网页中。 如果构造的二级域名内容不是完整的域名地址（如：），则会随机返回一段源码。 这种方式的优点是不需要入侵网站，只需要自己搭建服务器即可，但是推广效果不太好。

使用网站暗链接

在网页中嵌入暗链接的方法相对过时，目前使用较少，因为搜索引擎已经可以检测到这种作弊方法。 为了介绍知识的完整性，这里简单介绍一下。 暗链接也叫黑链接，属于隐藏链接，是黑帽SEO的作弊手段之一。 挂暗链接的目的很简单，增加网站的外部链接，提高网站排名； 实现方式主要分为几种：使用CSS实现、使用JS实现、使用DIV+JS实现等。

详细介绍请参考：黑帽SEO暗链接

利用高权重网站构建关键词URL进行推广

真实案例：一年前，当我第一次学习黑帽SEO时，我发现了一个有趣的黑帽SEO方法。 虽然方法笨拙老套，但仍然有效。 所以在写这篇文章的时候，我特意找了一个典型案例来分享给大家。 取证截图如下。

将URL中的参数内容显示到网页中本来是一些网页的特殊功能。 过去的经验告诉我，如果这个特性处理不好，可能会导致XSS漏洞。 现在我不得不意识到这个功能也被用于黑帽SEO。 通过在URL或post数据包中构造推广关键词（常见于搜索框功能），然后将带有推广关键词的页面添加到蜘蛛池中，以便搜索引擎收录，即可达到推广的目的。 一般这种方式常用于推广QQ账号、盈利网站等（类似广告）。 当我们通过搜索引擎搜索某些关键词（比如色情资源）时，就会显示这个页面，从而宣传自己。 当然，账号或网站的目的只是一种推广方式，并不涉及太多的流量引流。

利用网页劫持流量

网页劫持，也称为网站劫持或搜索引擎劫持，是目前黑帽SEO中最流行的做法。 原因可以简单概括为：包容容易，发现困难。 之所以容易被收录，是因为搜索引擎目前还没有很好的机制来检测这种作弊手段，而网页劫持技术仍然可以吸引大量的流量。 难以发现是指网页劫持方式比较隐蔽，非技术人员很难发现它的存在。

网页劫持方式可分为服务器端劫持、客户端劫持、百度快照劫持、百度搜索劫持等；

网页劫持可以采取劫持跳转或劫持呈现的网页内容（与直接篡改网页内容不同）的形式。 目前广泛应用于私服、博彩等盈利行业。

网络劫持真实案例

几个月前，我处理了一起网络劫持案件。 起因是政府网站（不包括新闻页面）出现与赌博相关的内容，这显然是非法的。 排除管理员添加错误的情况，恐怕这个网站可能已经被黑了。 首先，我访问了备案上的链接，然后浏览器中出现了一个正常的政府页面，不一会儿，页面就跳转到了赌博页面。

图 1 显示了一个正常的政府页面：

图2为投注页面：

可以看到，投注页面的域名显然不是之前的政府网站域名。 看到这个现象，结合多年的安全经验，我可以大致猜测这个网站被网页劫持了。 通过分析上述过程中的数据包，不难发现网站前端页面中嵌入了一段非法代码。

此代码存储在 43.250.75.61 服务器上。 查看服务器信息，发现是在日本。

通过访问这段代码，返回的内容会跳转到网站。

分析到这里，我们不难发现，页面跳转的原因是网页中非法嵌入了一段代码，而这段代码可以控制访问时跳转到投注页面网页。 这是最基本、最常见的搜索引擎劫持方法，其变种很多，类型和方法也各不相同。 最后登录web服务器查看，发现大量html文件被篡改，文件开头写入了外部js引用。 那么这次入侵事件的流程应该是黑客通过Web应用的某些漏洞（实际上是管理后台弱口令+任意文件上传）入侵服务器，通过篡改服务器的静态文件来达到网页劫持的目的分批。 网络劫持的手段有很多种，不能用这一个案例来概括。 想要了解更多详情，请继续阅读下面的介绍。

服务器劫持

服务器端劫持也称为全局劫持。 该方法是修改网站的动态语言文件，确定访问来源并控制返回内容，从而达到网页劫持的目的。 其特点往往是通过修改asp/aspx/php.ini等后缀文件来达到动态渲染网页内容的效果。

Global.asa、Global.asax、conn.asp、conn.php等文件比较特殊。 每次执行动态脚本时，都会先加载该脚本，然后执行目标脚本。 所以只需在Global.asa中编写判断用户的系统信息（访问来源等）的代码即可。 如果是蜘蛛访问，就会返回关键词网页（你要推广的网站）。 如果是用户访问，就会返回正常页面。

客户端劫持

客户端劫持的方法有很多，但最常用的两种是js劫持和Header劫持。

js劫持的目的是在目标网页中植入恶意js代码，以控制网站跳转、隐藏页面内容、窗口劫持等。js植入方式可以通过入侵服务器直接写入源代码； 也可以写在数据库中，因为有些页面会显示数据库内容。

js劫持代码案例：

下面的代码可以在通过搜索引擎搜索并点击页面时执行一段js并跳转到投注页面； 直接输入URL访问网页会跳转到404页面。

1
2
3
4
5
6
7
8
9
10
11

today=new Date();
today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();
var regexp=/\\.(sogousohaosoubaidugoogleyoudaoyahoobinggougou118114vnet360ioagesmsp)(\\.a-z0-9\\-]+){1,2}\\//ig;
var where =document.referer;
if(regexp.test(where)){
document.write ("");
}
else
{
window.location.href="../../404.htm";
}

代码分析：通过referer判断来源。 如果referer来源为空，则会跳转到404页面。 如果是来自搜索引擎的referer，也会显示出来，然后写代码控制跳转。 如果只想控制不同内容的显示，可以修改php和asp代码； 如果需要劫持搜索引擎搜索框，可以编写JS代码在浏览器中进行本地跳转。 当然，js功能是可以无限扩展的。 比如可以控制某个IP一天之内首次访问正常，其他访问跳转等。

头部劫持就是在HTML代码的头部添加特殊的标签。 代码如下：

1

"refresh" content="10; url=http://thief.one">

标头劫持利用元刷新标签（自动重定向）功能来分流流量。

直接篡改网页内容（比较低级）

有些黑客在入侵网站后喜欢直接篡改网页内容，比如放入自己的QQ号，或者将网页篡改成非法页面作为促销。 在此我对这样做的黑客表示不屑，因为这是最糟糕、最低级的做法。 不好的是，直接篡改网页内容可能会给网站带来难以挽回的损失； 不好的是这种方法很容易被发现，并不能起到真正的吸引流量和推广的作用。

利用高权威网站的二级目录

即黑客入侵网站后，在网站的二级目录中创建许多用于自身推广的页面。 为了达到吸引流量的目的，黑客往往需要创建大量的二级目录页面，因此需要一个寄生虫程序来自动创建页面。 这种方法还需要入侵高权限网站来获取网站服务器权限。 与网页劫持方法不同，该方法侧重于利用高权限网站本身，在其目录下创建多个推广页面； 网络劫持的重点是隐藏自身，并且可以动态地将网络内容呈现给客户。 因此，在实际使用中，黑客常常将两者结合使用。 这种方法与利用泛分析做黑帽SEO的方法明显不同。 虽然也利用了网站本身权重高的优势，但是泛分析使用的是二级域名，而且这种方式使用的是二级目录。 当然，两者做法不同，但效果相似。

采用高权重网站二级目录法的情况与泛分析情况类似，此处不再赘述。 既然前面提到这种方法往往需要用到寄生程序，那么我们就来看看，什么是寄生程序？ 这背后到底有何玄机？

总结：无论科技多么黑暗不断进步，我们都不能停滞不前！