黑帽SEO出招陰狠 大量政府域名遭殃

您的位置： 公告 - 行業新聞 - 黑帽SEO出招陰狠 大量政府域名遭殃

　　2013年5月24日，時空電子網站安全中心研究人員發現了一起黑帽SEO事件，與以往不同的是，這次攻擊者并沒有通過傳統的篡改網站頁面來達到目的，而是采用了"域名劫持"這一陰狠的曲線攻擊方式。

　　通過百度搜索"戲王博彩現金開戶"，會發現大量.gov.cn結尾的政府站點域名都出現了博彩網站的廣告。

　　而直接通過瀏覽器輸入域名，則會跳轉到hxxp：//180.168.41.175/的這個IP，訪問之后瀏覽器返回如下頁面，并沒有出現博彩網站的內容。

　　通過查看HTML源代碼，發現了問題所在，原來這個網站的內容只是一個框架。

　　其中的js代碼會判斷來路，并做相應的跳轉。如果用戶直接輸入網址，則轉到上述的114導航頁；如果用戶通過百度訪問網址，則跳轉到hxxp：//www.30880.com/#z7team這個博彩網站，且域名后面有一個z7team，普遍域名后面加上這類內容通常是廣告的一種手法，用來統計相應的來路信息。

　　繼續分析，一個正常的政府網站是不會有那些奇葩的域名的，嘗試一些*.demo.gov.cn，都會被解析，那么可以得出，這些域名肯定使用了泛解析。

　　根據SCANV網站安全中心研究人員的推斷：假設是政府網站服務器被黑，攻擊者可以利用的只有服務器權限，而沒有域名權限，也就是說攻擊者只能更改www.demo.gov.cn這個域的內容，而從這次的大規模劫持特征來看，攻擊者可能是獲得了受害站點的域名管理信息。

　　接著whois查詢相關信息。發現大部分的受害站點是在"廣東時代互聯科技有限公司"注冊的，小部分是在新網注冊的。

　　而兩家企業的數據庫都有遭駭客攻擊的經歷，所以很可能是由于被脫庫導致的用戶信息泄漏。然后攻擊者通過泄漏的數據庫登錄修改DNS指向，添加泛解析，導致網站出現其他的域名被指向了同一個黑頁服務器。

　　SCANV網站安全中心在此提醒廣大站長，請定期修改自己域名的管理密碼，并做相應的檢查。平時可經常登錄時空電子網站，以便第一時間了解自己網站的安全情況。