黑帽SEO出招陰狠 大量政府域名遭殃
2013年5月24日,時空電子網站安全中心研究人員發現了一起黑帽SEO事件,與以往不同的是,這次攻擊者并沒有通過傳統的篡改網站頁面來達到目的,而是采用了"域名劫持"這一陰狠的曲線攻擊方式。
通過百度搜索"戲王博彩現金開戶",會發現大量.gov.cn結尾的政府站點域名都出現了博彩網站的廣告。
而直接通過瀏覽器輸入域名,則會跳轉到hxxp://180.168.41.175/的這個IP,訪問之后瀏覽器返回如下頁面,并沒有出現博彩網站的內容。
通過查看HTML源代碼,發現了問題所在,原來這個網站的內容只是一個框架。
其中的js代碼會判斷來路,并做相應的跳轉。如果用戶直接輸入網址,則轉到上述的114導航頁;如果用戶通過百度訪問網址,則跳轉到hxxp://www.30880.com/#z7team這個博彩網站,且域名后面有一個z7team,普遍域名后面加上這類內容通常是廣告的一種手法,用來統計相應的來路信息。
繼續分析,一個正常的政府網站是不會有那些奇葩的域名的,嘗試一些*.demo.gov.cn,都會被解析,那么可以得出,這些域名肯定使用了泛解析。
根據SCANV網站安全中心研究人員的推斷:假設是政府網站服務器被黑,攻擊者可以利用的只有服務器權限,而沒有域名權限,也就是說攻擊者只能更改www.demo.gov.cn這個域的內容,而從這次的大規模劫持特征來看,攻擊者可能是獲得了受害站點的域名管理信息。
接著whois查詢相關信息。發現大部分的受害站點是在"廣東時代互聯科技有限公司"注冊的,小部分是在新網注冊的。
而兩家企業的數據庫都有遭駭客攻擊的經歷,所以很可能是由于被脫庫導致的用戶信息泄漏。然后攻擊者通過泄漏的數據庫登錄修改DNS指向,添加泛解析,導致網站出現其他的域名被指向了同一個黑頁服務器。
SCANV網站安全中心在此提醒廣大站長,請定期修改自己域名的管理密碼,并做相應的檢查。平時可經常登錄時空電子網站,以便第一時間了解自己網站的安全情況。