天涯论坛

 找回密码
 立即注册
搜索
查看: 40|回复: 3

小心!上当"蜘蛛"在线疯狂搞颜色,误点即刻掉入诈骗漩涡

[复制链接]

2835

主题

316

回帖

9191万

积分

论坛元老

Rank: 8Rank: 8

积分
91919712
发表于 2024-8-25 21:41:12 | 显示全部楼层 |阅读模式

互联网信息服务(Internet Information Services)是由于微软机构供给的基于运行Microsoft Windows的互联网基本服务,大都数Windows系统服务器均有安装,常用来运行Web服务。而当这一底层架构被恶意黑客盯上,网络威胁自然随之而来。

近期,360安全大脑独家发掘一新型恶意模块,被黑客移植其攻陷的IIS WEB服务器,并利用该恶意模块替换IIS服务中的一个服务组件,躲避检测查杀。经360安全大脑分析,这次攻击事件最早起始于2020年8月,黑客攻陷数个知名云服务供给商的数十台服务器,受影响网站数量高达几千例,360安全大脑第1时间发出紧急安全预警。

攻陷公用云主机服务器,"染毒蜘蛛"过境数千网站

360安全大脑分析发掘,被攻击服务器重点为公用云主机服务器,且一般黑客攻陷一个公用云主机服务器后,就可直接得到几十乃至上百个网站的掌控权,其中不乏企业官网。360安全大脑监测数据表示,此次遭攻击服务器高达数十台,几千个网站受波及。

(部分受害企业)

鉴于以上状况,360安全大脑第1时间对样本展开分析,随后发掘黑客在攻陷目的服务器后,会从网上下载一个包括db.db、dd.cc、e.cc模块、x64.dd、x86.dd五个文件的恶意压缩包,各文件功能详细如下:

db.db 是一个SQLite3数据库文件。重点包括恶意模块需要的网站模版及关键字等信息,此文件后续会被写入IIS目录下的inetsrv\modrqflt.dll:db.db文件中,这是一个持有

FILE_ATTRIBUTE_INTEGRITY_STREAM属性的文件,在目录下不可见。

dd.cc是黑客研发的恶意模块安装工具。黑客运用该工具可改变modrqflt.dll的拜访掌控权限(DACL),从而成功将modrqflt.dll重命名为cache.dll,并将恶意程序改名为modrqflt.dll。

e.cc模块是用来停止被攻陷服务器日志记录的功能。运行之后,其会遍历线程找到Eventlog服务的线程并停止,以此来停止日志记录的功能。

x64.dd为黑客编写的64位恶意modrqflt.dll,重点用来替换C:\Windows\System32\inetsrv下iis服务器自带的modrqflt.dll。

x86.dd 则是黑客编写的32位恶意modrqflt.dll,重点用来替换C:\Windows\SysWOW64\inetsrv下的modrqflt.dll。

(黑客攻陷目的服务器后下载的恶意压缩包)

modrqflt.dll是供给请求过滤处理(Request filtering handler)的功能模块,而成功替换后,黑客便能够过滤掉网站正常拜访请求,专门为搜索引擎蜘蛛(爬虫)供给色情素材。

完成恶意模块的替换后,当搜索引擎蜘蛛(爬虫)拜访网站本来失效链接时,此模块即会生成一个包括海量链接的"空白"页面,并将HTTP响应码由404改为200来诈骗"蜘蛛"(爬虫)。而"蜘蛛"在获取该页面后,会继续拜访页面中的所有链接,并抽取关键字存入搜索数据库。此时,倘若有用户搜索对应关键词,就会返回以上伪造链接及页面,倘若恶意DLL仍然存在,则会直接到色情网站。

空白页面神隐"透明"网址,骗过爬虫蜘蛛猖狂搞颜色

404页面并不少见,一般因为服务器位置变动,守护不到位等原因引起网站个别链接失效。正常状况下,当搜索引擎蜘蛛爬取时遇到此类链接,表示404页面,但针对遭遇黑客攻陷的网站来讲,其失效链接则会骗过"蜘蛛",表示空白页面却在源码中暗藏海量链接。

看到这儿你或许会有疑问,中招的网站怎么区分正常的用户和爬虫呢?其实当用户运用浏览器打开一个网站,浏览器向网站服务器发出请求时,会在请求数据头部设置一个User-Agent的字段,例如拜访百度时:

而当搜索引擎爬取时,User-Agent设置的则有有些同样

百度蜘蛛

Mozilla/5.0(compatible;Baiduspider/2.0;+http://www.baidu.com/search/spider.html)

360蜘蛛:

Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36; 360Spider

神马蜘蛛:

Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3497.81 YisouSpider/5.0 Safari/537.36

搜狗蜘蛛:

Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)

此次事件中,违法黑客下载的恶意模块会经过判断User-Agent区分用户和蜘蛛(爬虫),当识别为搜索引擎蜘蛛后,就会返回以上100条链接,其中前80条hostname是恶意模块生成的随机页面,与当前网站的hostname一致;后20条hostname则是其他受害网站生成的随机页面,均为接口

hxxp://zjclasjsdknlnxsa.com:8081/ping返回(此接口需要特殊User-Agent才可拜访)。

与此同期,100条随机生成的页面链接,看似杂乱无章其实暗藏必定规律的,它们的URL通常是由于下图中的规则形成,即[]中的为可选。

参照上图的URL规则,观察随机链接中的path字段会发掘,它们全都是以lista/xzs/api/bks开头,且以上四个关键词,分别对应了四套恶意模块运用网站模版。

在生成网页过程中,程序还会随机读取keyword等其他表中的数据,以此来替换网站模版中的对应留空位置。四套模版运行如下图所示:

以上网页表示内容,都是拜访受害网址时数据库关键字替换随机生成的,搜索引擎蜘蛛(爬虫)则会将以上伪造的URL和页面缓存在数据库中。当用户在搜索引擎中搜索色情关键词,一旦命中以上伪造页面内容,那样搜索引擎就会返回以上伪造的URL和页面摘要。

此时,如若用户点击页面网址,浏览器则会默认设置Referer字段,以此来标明是从那个链接找到当前的链接。恶意模块正是利用这一点,区分当前拜访页面是不是来自于百度/360/搜狗/神马等国内搜索引擎中的一种。

尤其是,倘若接口

hxxp://zjclasjsdknlnxsa.com:8081/jump有返回数据,则会设置页面的内容为接口返回的数据:

如若获取到接口数据,则会拜访db.db数据库,将jump中的代码插进网页中:

<script type="text/javascript" src="hxxp://zjclasjsdknlnxsa.com/js/jump.js"></script>

jump.js内容如下:

以上代码的重点功能便是最后的色情网站:

而当咱们在某搜索引擎搜索受害网站关键词时,点击搜索的链接,打开的便是色情网址hxxps://2**sg.xyz/,虽然原网址完全是一个正规网站。

(搜索网址为色情网站)

(受害网站原网址为正规网站)

黑灰产业链连续发酵,360安全大脑强势出击

经360安全大脑研判分析,此次是黑灰产业链的连续性攻击事件,黑客团伙运用专业的渗透技术对各类网站进行攻击并移植木马,违法获取服务器掌控权,并在随意管控攻陷的肉鸡服务器的基本上,利用搜索引流扩散色情诈骗内容,影响正规网站正常业务运行。

周期,黑客团伙攻击仍在连续,广大用户应格外警觉,避免遭受不必要的损失。对此,360安全大脑给出如下安全意见

1、尽快前往weishi.360.cn,下载安装360安全卫士,有效拦截各类病毒木马攻击,守护电脑隐私及财产安全;

2、注重服务器安全管理,规范安全等级守护工作,即时更新漏洞补丁;

3、创立网站安全策略,防止攻击出现害处进一步扩大。





上一篇:百度强引照片渲染蜘蛛的办法是什么
下一篇:网站怎么样阻止违法“蜘蛛”来访?
回复

使用道具 举报

3070

主题

3万

回帖

9915万

积分

论坛元老

Rank: 8Rank: 8

积分
99158931
发表于 2024-11-2 14:26:03 | 显示全部楼层
你说得对,我们一起加油,未来可期。
回复

使用道具 举报

2996

主题

3万

回帖

9910万

积分

论坛元老

Rank: 8Rank: 8

积分
99109194
发表于 2024-11-9 03:06:04 | 显示全部楼层
回顾历史,我们不难发现:无数先辈用鲜血和生命铺就了中华民族复兴的康庄大道。
回复

使用道具 举报

3070

主题

3万

回帖

9915万

积分

论坛元老

Rank: 8Rank: 8

积分
99158931
发表于 2024-11-13 14:16:32 | 显示全部楼层
我赞同你的看法,你的智慧让人佩服,谢谢分享。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-23 01:24 , Processed in 0.304905 second(s), 22 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.