事例分析：ブラックリストに登録されたウェブサイトの分析プロセス

ウェブマスターツール tool.chinaz.com の「ウェブサイトハッキング検出」でウェブサイトが異常であると検出されたというメッセージをクライアントから受け取りました。提供された手がかりに基づいて、ウェブマスターツールでテストを実施したところ、次のことがわかりました。

ブラックリンクが張られていることは明らかでした。私はブラックリンクの作業はしたことがなかったので、ブラックリンクのさまざまな手法についてはあまり知りませんでした。私の最初の反応は、Web サイトのファイルが悪意を持って改ざんされたということでした。そこで、すぐに Web サイトのソース ファイルを確認しました。比較した結果、明らかな異常は見つかりませんでした。しかし、ブラックリンクはどこから来たのでしょうか?

ウェブマスターツールの検出結果を再度確認したところ、下記の正常アクセスシミュレーション結果のページは正常ですが、上記の異常結果は検索エンジンをシミュレーションして得られたものです。異常結果をよく見ると、Baiduspiderが直接書かれています。ここでの大まかな意味は明らかです。Baiduクローラーがやってくると、黒いリンクが表示されますが、これは正常ユーザーのアクセスには影響せず、隠蔽の目的を達成します。

シミュレーションを行って、このテスト結果が正確かどうか確認してみましょう。

curl コマンド xxx.com を実行すると、次のような結果が返されますが、これは正常です。

それでは、もう一度 Baiduspider を真似してみましょう。

curl -A "Baiduspider" xxx.com を実行すると、次の結果が得られます。

結果は私たちの推測が正しかったことを証明しましたが、ウェブサイトのソースコードは変更されていないので、黒いリンクはどこから来たのでしょうか？黒いリンクはクローラーの種類から来ているので、

クローラーのキーワードに基づいて直接検索します。

grep -ri baiduspider web_root_master

この時、ようやく問題が見つかりました。global.asax ファイルに js スクリプトの大きなセクションが隠されていました。お客様のウェブサイト プログラムは .NET で開発されていたため、事前に win 環境で比較を行いました。当初は global.asax ファイルも見つかりましたが、win のテキスト編集ソフトウェアで開くと、空白しか表示されませんでした。実際、実際のコード部分は数百行に隠されていました。

次のコードは、ほとんどの人が注意を払わず、グラフィカル インターフェイスを開いたときにドキュメントの最初の部分が空白になるという事実を巧みに利用しています。

.NET プログラムの実行中、デフォルトの Web サイトのルート ディレクトリに global.asa または global.asax ファイルがある場合、最初にグローバル ファイルとして読み込まれます。これはおそらく、トロイの木馬やブラック リンクを使用するほとんどのプレイヤーが好んで使用するトリックです。この js は Baidu クローラーにのみ使用されます。Baidu で技術文書を検索しても正確な結果が見つからないのも当然です。対象が絞られすぎています。

同時に、ブラックリンクのコンテンツソースがサードパーティドメインのHTMLファイルを使用していることにも気付きました。これの巧妙な点は、ブラックリンクの所有者が状況に応じてブラックリンクのコンテンツをリアルタイムで調整できることです。一部の専門家は、ブラックリンクのコンテンツの動的更新をかなり前から実現していました。私が遭遇したサイトは、バッチ操作の無数の被害者の 1 つにすぎませんでした。

ブラックリンクコンテンツのソースウェブサイトにも注目しました。もっとエネルギーがあれば、破壊したかったのですが。幸いなことに、anquan.orgと360 Website Security Centerは、おそらくこのような違法情報ウェブサイトに興味を持っているようです。