2021黑帽SEO技术总结

2021黑帽SEO技术总结目录黑帽SEO系列基础知识 1黑帽SEO基础概念 1黑帽SEO作弊手法 6黑帽SEO系列页面跳转 8页面跳转分类 8各种跳转介绍 9黑帽SEO系列网页劫持 10服务端劫持 10客户端劫持 11手法对比 12黑帽SEO系列暗链 12利用CSS实现挂暗链 13利用JS实现挂暗链 14利用DIV+JS实现挂暗链 14挂暗链高级姿势 14搜索引擎劫持案列分析 15黑帽SEO剖析之手法篇 19黑帽seo概念 19SEO的一些黑色手法 19黑帽SEO剖析之工具篇 34寄生虫（jsc) 34蜘蛛池 40黑帽SEO剖析之隐身篇 51隐身的技术 51黑帽SEO剖析之总结篇 53如何检测自身网站是否被劫持？ 53谁来为此买单？ 55如何制止与防御？ 55黑帽SEO系列基础知识SEO全称为搜索引擎优化，是指通过站内优化、站外优化等方式，提升搜索引擎收录排名。既然有SEO技术，便会有相应的从业人员，他们被称为白帽SEO，专指通过公正SEO手法，帮助提升站点排名的专业人员。

当然有白便会有黑，由于白帽SEO优化的过程将会十分漫长，一个新站想要获取好的排名，往往需要花上几年时间做优化推广。因此一些想要快速提升自身网站排名的小伙伴，便开始在SEO上研究作弊手法，从而诞生了黑帽SEO。黑帽SEO是指通过作弊手段，让站点快速提升排名的一类SEO技术，或者说是黑客技术，比如说：黑链（暗链）、站群、网站劫持、桥页等，黑帽SEO能够快速提升排名，但毕竟是违规作弊行为，容易被K。

白帽与黑帽的优缺点显而易见，换句话说两者皆不完美，因此便又诞生了灰帽SEO，介于两者之间，既不违规，又可以较快速的提升排名。由于项目需要，最近开始接触一些黑帽SEO的知识，在此总结分享，欢迎指正！黑帽SEO基础概念域名概念：域名由两个或两个以上的词构成，中间由点号分隔开，最右边的那个词称为顶级域名。顶级域名我们接触的顶级域名又分为两类：

1.国家和地区顶级域名，目前200多个国家分配了顶级域名，例如中国是cn，日本是jp等；

2.国际顶级域名，例如表示工商企业的.com，表示网络提供商的.net，表示非盈利组织的.org等。一级域名一级域名就是在comnetorg前加一级，比如：，thief.one等。二级域名，等都是二级域名。泛站群泛二级域名站群

前提：在做域名解析的时候，选择了*

操作：进入服务器，可以借助泛二级域名建站工具，批量创建二级域名站点，从而实现站群的效果。泛端口站群

操作：先要获得操作目标站点的服务器权限，进入服务器之后，可以使用泛端口站群建设工具，批量创建泛端口站点。主要是在iis里面批量创建站点，绑定站点对应的端口。对于泛端口站点，一定要注意一些重要端口别占用了，否则可以导致服务器出错。一般泛站，用的比较多的是Dedecms程序。站中站就是在权重高的网站中创建一个自己的网站，其实就是添加很多外链，蜘蛛会认为这些网站也是属于高权重网站的内容，因此权重也会比较高。但是由于这种做法太泛滥，导致百度修改了爬虫算法。链轮

Y是想要推广的网站，W是自己控制的外部网站，首先可以搞多个网站，一层层外链下去，形成链轮。当想要推广某个网站时，可以在所有外部网站上添加Y的外链。谷歌貌已经对此不友好，百度还可以尝试。蜘蛛池蜘蛛池是一种通过利用大型平台权重来获得搜索引擎收录以及排名的一种程序。原理可以理解为事先创建了一些站群，获取（豢养）了大量搜索引擎蜘蛛。当想要推广一个新的站点时，只需要将该站点以外链的形式添加到站群中，就能吸引蜘蛛爬取收录。寄生虫寄生虫是黑帽SEO常用的一种方法，通过侵入别人网站，植入寄生虫程序，自动生成各种非法页面。之所以叫做寄生虫是因为能够自己触发生成，而不是一次生成，例如在访问网页的时候触发，自动生成页面且形成链轮等。黑帽SEO作弊手法SEO作弊手法不仅仅是为了提升网站排名，也有可能是为了陷害对手网站，降低其排名。PR劫持往往是利用301或者302跳转，因为搜索引擎在处理301，302跳转时，把目标URL当做实际收录的URL。

即当从A域名302到B域名，而B域名的PR值比较高时，域名A在更新PR值后，也会显示域名B的PR值，也就是说可以提升A的PR值。利用这一点，可以先将自己网站302跳转到一个PR高的网站，等PR值更新后，取消转向，放上自己的内容，这样可以维持到下一次PR值更新，大概两三个月的时间。网站跳转隐藏页面隐藏页面指的是页面使用程序判断访问者是普通用户还是搜索引擎蜘蛛。如果是普通用户，程序返回一个不考虑SEO，只给用户看的页面；如果是搜索引擎蜘蛛，程序就返回一个高度优化的，但是由于优化后无法阅读的页面。隐藏文字隐藏文字指的是网页上用户看不到，但搜索引擎能看到的文字，可以通过改变文字颜色，位置，大小等方式，代码：123<divstyle="display:none">隐藏文字</div>positon:absolute;margin-right:-1000000px;垃圾连接垃圾连接通常指站长为了提高网站排名，去各大论坛网站留言，留下自己的连接，一般通过群发软件完成这一操作。这种手法，容易被过滤掉，一些浏览器的插件或者博客的插件可以自动进行垃圾留言过滤。连接农场链接农场指的是整个网站或者部分网页，没有实质内容，完全是为了交换链接而存在。该页面上全部是链接到其他网站，其他网站再链回来，互相交叉。桥页桥页也称为“门页”，此页面质量很低，充斥着关键字，完全以关键词排名与流量为目标，不考虑用户体验。当用户访问桥页，一般会有两种情况。页面顶部以大字号连接到其他网站（想要推广的网站），用户因为看不清桥页内容，有时不得不点击连接。利用页面自动跳转技术。关键词堆积关键词堆积指的是在页面上本来没必要出现关键词的地方反复刻意堆积关键词，提高排名。诱饵替换诱饵替换指的是作弊者先通过普通关键词制作页面获得排名后，更改为其他内容。刷站刷站是一种利用程序模拟用户用搜索引擎，搜索某个关键词，然后点击浏览某个网页的行为。挂暗链（黑链）手法：利用CSS，利用DIV+JS，利用JS等

作用：利用高权重网站外链来提升自身站点排名。

网站劫持分类：客户端劫持，服务端劫持，快照劫持等

手法：一般利用js或者php、asp等代码，达到劫持网站，控制跳转以及网页效果呈现的目的。

作用：利用高权重网站跳转来引流量。

利用高权重网站二级目录手法：将一些博彩网页放在高权重网站的二级目录之下。

作用：提高网站排名，引流量。利用高权重网站二级目录反向代理通过配置nginx/apache等，设置目录代理，将服务器上某个目录代理到自己搭建服务器上的某个目录。

即浏览者在打开http://thi.one/2016/目录时，实际访问到的资源是自己服务器上的某个目录（目标服务器会去自己服务器上拿数据），这取决于nginx配置文件的写法。这种手法不需要修改目标服务器网站源码，只需要修改中间件配置文件，不易被删除，不易被发现。黑帽SEO系列页面跳转页面跳转分类（一）服务端跳转一般用户不会感觉到跳转的实际行为，往往通过代码去控制，因此有些时候我们也不叫做跳转。具体的服务端跳转行为有很多，各个语言技术都有各自的特点。（二）客户端跳转客户端跳转分为：http层跳转，应用层跳转。

应用层跳转分为：htmlhead跳转，js跳转等。http层跳转http跳转是指server根据工作情况通过http返回状态码，利用http的重定向协议指示客户端浏览器跳转到相应页面的过程，一般返回码是302。htmlhead跳转（HTMLrefresh）在html代码的head中添加特殊标签，如下1<metahttp-equiv="refresh"content="5";url="http://thief.one/"/>表示：5秒之后转到OneThief首页，这个跳转需要浏览器具体解析html后采能进行。js跳转通过在html代码中添加js代码，通过js代码实现跳转：123<scriptlanguage="javascript"type="text/javascript">window.location.href="http://thief.one";</script>这个跳转应该比htmlhead跳转更向后延迟。各种跳转包含关系服务端跳转客户端跳转http跳转应用层跳转htmlhead跳转htmljs跳转各种跳转介绍（一）服务端跳转介绍：跳转发生在服务器上，用户不会有任何感觉。

优点：跳转行为在server进行，一次tcp连接完成相关操作，对用户是透明的，不会造成疑惑。

缺点：对用户隐藏了信息，跳转行为都发生在server端，对server有压力。（二）http跳转介绍：跳转发生在服务端发生数据给客户端过程中，用户能够感觉到，并且状态码往往为302。

优点：响应速度快，在http1.1协议下通过合适的设置可以使用同一个tcp连接，节省网络时间，服务器及用户端都不需要进行额外的数据处理工作，节省时间。

缺点：仅仅能做跳转没有其他功能，基于js及html的跳转可以选择延时跳转，但是302无法选择延时跳转等。（三）htmlhead跳转介绍：跳转发生在服务端已经将数据传输到客户端以后，用户能够感觉到。

优点：跳转方式灵活，可以指定延时跳转等等

缺点：可能多次建立tcp连接，在低速网络下效率更低，浪费客户端的时间。（四）js跳转介绍：跳转发生在服务端已经将数据传输到客户端以后，用户能够感觉到

优点：跳转方式灵活，可以指定延时跳转等等

缺点：可能多次建立tcp连接，在低速网络下效率更低，浪费客户端的时间。黑帽SEO系列网页劫持网页劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式，此手法往往通过入侵政府、教育机构网站（权重高），修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等；表现形式可以是劫持跳转，也可以是劫持呈现的网页内容，目前被广泛应用于私服、博彩等暴利行业。服务端劫持服务端劫持也称为全局劫持，手法为修改网站动态语言文本，判断访问来源控制返回内容，从来达到网站劫持的目的。asp/aspx/php劫持Global.asa、Global.asax、conn.asp、conn.php等文件比较特殊，作用是在每次执行一个动态脚本的时候，都会先加载该脚本，然后再执行目标脚本。所以只要在Global.asa中写判断用户系统信息的代码（访问来源等），如果是蜘蛛访问则返回关键词网页（想要推广的网站），如果是用户访问，则返回正常页面。客户端劫持客户端劫持的手法也很多，但主要就是2种：js劫持、Header劫持。js劫持js劫持目的：通过向目标网页植入恶意js代码，控制网站跳转、隐藏页面内容、窗口劫持等。

js植入手法：可以通过入侵服务器，直接写入源代码中；也可以写在数据库中，因为有些页面会呈现数据库内容。js劫持案例效果：通过搜索引擎搜索点击页面（执行一段js）跳转到博彩页面；直接输入网址访问网页，跳转到404页面。

代码：1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}分析：通过referer判断来路，如果referer来路为空就是跳转到404页面，如果是搜索引擎来的referer里面也会有显示，然后在写代码控制跳转。如果只是控制实现显示不同的内容，可以修改php、asp代码；如果需要劫持搜索引擎搜索框，可以写JS代码来做浏览器本地跳转。当然js功能可以无限扩展，比如可以控制一个ip一天内第一次访问正常，其余访问跳转等等。header劫持在源代码中写入以下代码：1<metahttp-equiv=“refresh“content=“10;url=http://thief.one“>利用的就是MetaRefreshTag（自动转向），将流量引走。手法对比客户端劫持与服务端区别客户端劫持：每次访问网页从服务端获取到的网页代码都是相同的，只是控制了网页代码在浏览器中呈现的效果（比如是否进行跳转等）。

服务端劫持：改变了每次访问网页从服务端获取到的网页代码。客户端劫持与服务端判断方法客户端劫持的判断方法：只需观察浏览器呈现的网页前端代码，查看是否引用了不当的js，或者其它敏感内容。

服务端劫持的判断方法：可以通过观察网站后端代码，或者通过改变ip，包头等方式，观察放回源码是否不同。结语：网页劫持的方法还有很多，我了解的大概只是皮毛，黑帽SEO技术的水很深，前路漫漫。黑帽SEO系列暗链暗链也称为黑链，即隐蔽链接hiddenlinks，是黑帽SEO的作弊手法之一。在早期的SEO优化中，黑链是最有效最迅速的方法之一；但是现在百度算法已经对iframe和display:none等直接进行了打击，如果你对代码没有任何处理的话，那么你所做的外链将全部降权。因此，目前黑帽SEO技术中，暗链已经用得不多，但还是有必要了解下这个经典的作弊手法。挂暗链的目的很简单，增加网站外链，提高网站排名；实现方式主要分为几种：利用CSS实现、利用JS实现、利用DIV+JS实现，其他高级手法。利用CSS实现挂暗链display属性将display属性设置为none，则页面上不显示此内容。123<divstyle="display:none;"><ahref=http://thief.one/>暗链</a></div>分析：这种形式以前效果较好，现在不建议使用，易被搜索引擎察觉。color/font-size/line-height属性将color颜色设置与页面背景色一样，大小设置为小于或等于1。1<ahref=http://thief.onestyle="color:#FFFFFF;font-size:1px;line-height:1px;">暗链</a>分析：最初级的隐蔽链接，易被搜索引擎察觉。position属性将position位置属性设置成负数，使内容位于页面可见范围以外。1<divstyle="position:absolute;top:-999px;left:-999px;"><ahref=http://thief.one>暗链</a></div>1<divstyle="position:absolute;left:expression_r(1-900);top:expression_r(3-999);"><ahref=http://thief.one>暗链</a></div>分析：以上2种写法，都是将内容放到可见范围以外，容易被搜索引擎识别。marquee属性设置marquee滚动标签属性，使之快速闪现。1<marqueeheight=1width=5scrollamount=3000scrolldelay=20000><ahref=http://thief.one>暗链</a></marquee>分析：链接以赛马灯形式迅速闪现，这种形式以前效果较好，现在不建议使用。利用JS实现挂暗链利用js向页面中写入css代码，设置属性。123456789<scriptlanguage="javascript"type="text/javascript">document.write("<divstyle='display:none;'>");</script><div><ahref=http://thief.one>暗链</a><scriptlanguage="javascript"type="text/javascript">document.write("</div>");</script>分析：js输出前面提到的css代码，到达一样的效果。目前来说Google对这种js形式的代码的内部实质意义还无法识别，但也不建议使用这种。利用DIV+JS实现挂暗链利用div与js功能，修改属性。1234<divid="anlian"><ahref="http://thief.one">暗链</a></div><scriptlanguage=javascript>document.getElementById("anlian").style.display="none"</script>分析：这是一种DIV与JS结合做黑链的一种常见方法，蜘蛛一般不会读取script的内容，只会读取div里的链接，可是div的显示属性却被script修改了。挂暗链高级姿势1234<divclass="father"style="position:relative"><divclass="topLever"style="position:absolute;left:0;top:0;z-index:999;width:90%;height:100px;border:1pxsolid#333;background:#eee">遮挡层：可以放图片或者Flash</div><divclass="hideDontent">隐蔽层：可以放暗链链接</div></div>分析：这种方式一般是放在Flash、图片或者其它层对象下方。这个代码是用父层相对定位，子层用绝对定位固定住以用来遮挡下面的隐蔽层内的暗链内容。结语：暗链不是什么新鲜的技术，但黑帽SEO始终在摸索前行，路漫漫其修远兮！搜索引擎劫持案列分析搜索引擎是每个网站通往客户最直接的方式，我相信大部分人访问网站借助于搜索引擎。对于我来说，搜索引擎还有另外一项功能，查看网站的状态（排名，收录情况，安全性等）。

通常来说，每天我都会打开搜索引擎查询网站的安全情况，今天也不例外，然而当我在查询关于某个客户网站的信息时，却出现了一些奇怪的敏感内容：

某政府网站上出现了博彩相关内容（排除新闻页面），这显然是不合规的。排除管理员失误添加导致，恐怕此网站多半是被黑客入侵了。抱着谨慎的态度，我决定深入研究一番。

首先我访问了该记录上的链接，紧接着浏览器中出现了一个正常的政府页面，而也就须臾之间，网页瞬间又跳转到了博彩网页。

图一为正常政府页面：

图二为博彩页面：

可以看到博彩页面的域名为，显然不是先前的政府网站域名。看到此现象，再结合多年安全经验，我大致能够猜测此网站应该是被搜索引擎劫持了。所谓搜索引擎劫持是目前黑帽SEO或者说黑产最喜欢的一种网页引流方式，此手法往往通过入侵政府、教育机构网站（权重高），修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。搜索引擎劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等；表现形式可以是劫持跳转，也可以是劫持呈现的网页内容，目前被广泛应用于私服、博彩等暴利行业。

通过分析以上过程的数据包，我们不难发现，在该网站前端页面被嵌入了一段非法代码。

此代码存放在1服务器上，查看该服务器信息，发现其在日本。

而通过访问此段代码，返回内容则是跳转到网站上。

分析至此，我们不难发现，导致页面跳转的原因便是网页被非法嵌入了一窜代码，而此代码能够控制访问该网页时跳转到博彩页面。这是搜索引擎劫持最为基础且常见的一种方式，其变种甚多，类型方式也各异，根据一段时间的调查学习我也总结了一些相关内容

当政府网站被挂博彩等敏感内容，其危害不言而喻。意识后问题严重性后，我立马联系了网站管理员，告知其详细情况，并帮助其整改。我们必须明白，搜索引擎劫持不是漏洞，只是一种黑产的表现形式。因此想要解决搜索引擎劫持问题，首先要解决网站本身的安全问题。

细细回想一番，曾几何时当我们通过搜索引擎打开一个正常网页时，是否存在跳转到其他非法页面的情况。很有可能，那便是一个被搜索引擎劫持的网站，而当我们点击链接的那一刻，便成为了黑色产业链的一部分，因为我们为其带去了流量。黑帽SEO剖析之手法篇黑帽seo概念SEO全称为搜索引擎优化，是指通过站内优化、站外优化等方式，提升搜索引擎收录排名。既然有SEO技术，便会有相应的从业人员，他们被称为白帽SEO，专指通过公正SEO手法，帮助提升站点排名的专业人员。

当然有白便会有黑，由于白帽SEO优化的过程将会十分漫长，一个新站想要获取好的排名，往往需要花上几年时间做优化推广。因此一些想要快速提升自身网站排名的小伙伴，便开始在SEO上研究作弊手法，从而诞生了黑帽SEO。黑帽SEO是指通过作弊手段，让站点快速提升排名的一类SEO技术，或者说是黑客技术，比如说：黑链（暗链）、站群、网站劫持（搜索引擎劫持）、桥页等，黑帽SEO能够快速提升排名，但毕竟是违规作弊行为，容易被K。SEO的一些黑色手法黑帽SEO的手法很多，并且在不断地更新换代，其中最常见的包括利用泛解析做站群，入侵高权重网站挂暗链，入侵高权重网站做网页劫持，篡改高权重网站网页内容，利用高权重网站二级目录做推广页面，修改nginx配置做目录反向代理等等。接下来我结合实际案例，介绍一些常用的手段。利用泛解析建立泛二级域名站群利用DNS泛解析可以快速建立站群，因为一个一级域名便可以衍生出无数个二级域名，当然一般需要借助站群工具，因为建立站群需要有很多内容不同的页面，手工建立显然不可能。而seo人员大费周章地建立站群的目的，便是能够快速吸引大量的搜索引擎爬虫，增加网站在搜索引擎中的收录量。以下是某个泛二级域名站群案例截图：

需要说明的是，以上截图中的二级域名并不是通过一条条dns解析记录去绑定的，解析里面设置的是*，也就是泛解析。而服务器端有程序或者代码去控制当构造不同的二级域名访问时，会返回不同的网页内容，也就让搜索引擎误认为每个二级域名都是一个单独的网站。

泛解析有很多优点，比如对用户友好（即使输错二级域名也能跳转到目标网站），又能够更快速地被搜索引擎收录等。基于这些优点，很多站长会选择用此方式来增加网站收录，然而如果没有妥善的使用泛解析可能会带来难以想象的危害。利用泛解析做黑产利用泛解析做黑帽seo的方式也有很多种，基于是否需要入侵网站以及dns服务器，我分为入侵法与非入侵法来介绍。入侵法真实案例：几个月前我们发现一个重要政府网站出现了大量博彩页面，取证截图如下：

经过分析我发现，此手法利用的便是泛解析，从截图中可以看到出现了大量此政府网站的二级甚至三级域名，而这些域名都是随机构造的，访问后会跳转到博彩色情等非法页面，而访问一级域名又是正常的内容。且先不分析跳转的过程中用到了哪些技术，单从泛解析记录就不难看出，此网站被人篡改了dns解析记录。我们有理由相信，黑客获取了此域名的dns解析控制权限，并将此域名泛解析到黑客准备好的服务器上。那么黑客这么做的目的很明显，为了让搜索引擎快速收录二级或者三级域名，从而达到引流到非法页面的目的。

我们通过分析此政府网站被入侵特征推导出此事件过程应该是，黑客通过入侵手段获取到了该政府网站dns解析权限（如何获取暂不可知），然后通过添加泛解析记录，将此记录指向黑客准备好的服务器，而此服务器上有动态语言去实现通过不同二级域名访问，返回不同的页面结果功能。由于政府网站本身权重很高，因此二级域名页面被百度快速收录，达到为非法页面引流的目的。这种手法的好处在于不必入侵网站，而只要获取到域名解析权限即可（当然获取域名解析权限也并非易事）。非入侵法真实案例：几天前我们发现有一个网站（）利用泛解析做恶意推广，查看网站特征后，我们尝试构造不同的二级域名访问，取证截图如下。

构造二级域名访问：

最终返回结果：

可以看到返回结果对网页内容以及url做了处理，当我们尝试构造不同的二级域名访问，发现返回结果内容都不一样，然而通过获取ip发现来自同一台服务器。首先我们不难想到，此域名一定是做了泛解析的，那么它是如何控制网页内容变化的呢？

查看网页源码可以看到网页源码被嵌入到了目标网页中。

那么其实想要实现此技术也并不难，可以在服务端上用代码实现。首先通过获取请求的二级域名地址，然后去访问该二级域名内容获取源码镶嵌到自己的网页内。如果构造的二级域名内容不是一个完整的域名地址（如：1.），则随机返回一段源码。这种手法的好处在于不必入侵网站，只需要自己搭建一台服务器即可，但推广效果没有那么好。利用网站暗链在网页中植入暗链这种手法已经相对落伍了，目前用的也比较少，因为搜索引擎已经能够对此作弊手法进行检测。为了介绍知识的完整性，此处我简单介绍一下。暗链也称为黑链，即隐蔽链接hiddenlinks，是黑帽SEO的作弊手法之一。挂暗链的目的很简单，增加网站外链，提高网站排名；实现方式主要分为几种：利用CSS实现、利用JS实现、利用DIV+JS实现等。

具体介绍请参考：黑帽SEO之暗链利用高权重网站，构造关键词URL做推广真实案例：一年前当我刚研究黑帽SEO的时候发现了一个有趣的黑帽SEO方式，虽然手法比较拙劣老套，但却也有成效。于是在写这篇文章的时候，我特意找了一个典型案例，与大家分享，取证截图如下。

将URL中的参数内容显示到网页内，这原本是某些网页的一种特殊功能。以往的经验告诉我这种特性如果没有处理好，可能会引发XSS漏洞，而今我不得不认识到，这种特性也一直被用于黑帽seo。通过在url或者post数据包（常见于搜索框功能）中构造推广关键词，再将有推广关键词页面添加到蜘蛛池中，使搜索引擎收录就能达到推广的目的。一般此种手法常被用来推广qq号，盈利网站等（类似打广告），而当我们通过搜索引擎搜索某些关键词时（如色情资源），就会显示出此页面，从而达到推广自身账号或者网站的目的，当然这只是一种推广手段，并不太涉及引流。利用网页劫持引流网页劫持，又叫网站劫持或者搜索引擎劫持，是目前黑帽SEO中最流行的一种做法。其原因可以简单概括为：易收录、难发现，易收录表现为搜索引擎尚没有很好的机制能够检测出此作弊手段，网页劫持手法仍然能够大量引流。难发现是指网页劫持手法比较隐蔽，一般非技术人员很难发现它的存在。

网页劫持从手法上可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等；

网页劫持的表现形式可以是劫持跳转，也可以是劫持呈现的网页内容（与直接篡改网页内容不同），目前被广泛应用于私服、博彩等暴利行业。网页劫持真实案例

几个月前我处理了一起网页劫持案列，起因是某政府网站上出现了博彩相关内容（排除新闻页面），这显然是不合规的。排除管理员失误添加导致，恐怕此网站多半是被黑客入侵了。首先我访问了该记录上的链接，紧接着浏览器中出现了一个正常的政府页面，而也就须臾之间，网页瞬间又跳转到了博彩网页。

图一为正常政府页面：

图二为博彩页面：

可以看到博彩页面的域名为，显然不是先前的政府网站域名。看到此现象，再结合多年安全经验，我大致能够猜测此网站应该是被网页劫持了。通过分析以上过程的数据包，不难发现在该网站前端页面被嵌入了一段非法代码。

此代码存放在1服务器上，查看该服务器信息，发现其在日本。

而通过访问此段代码，返回内容则是跳转到网站上。

分析至此，我们不难发现，导致页面跳转的原因便是网页被非法嵌入了一窜代码，而此代码能够控制访问该网页时跳转到博彩页面。这是搜索引擎劫持最为基础且常见的一种方式，其变种甚多，类型方式也各异。最后我通过登录web服务器查看，发现了存在大量html文件被篡改，且都在文件开头被写入外部js引用。那么此入侵事件过程应该是，黑客通过web应用程序某些漏洞入侵服务器（实际是管理后台弱口令+任意文件上传），通过批量篡改服务器静态文件实现网页劫持的目的。网页劫持的手法非常多，并不是这一个案例就能概括的，更多详细情况请继续看下文介绍。服务端劫持服务端劫持也称为全局劫持，此手法为修改网站动态语言文件，判断访问来源控制返回内容，从而达到网页劫持的目的。其特点往往是通过修改asp/aspx/php等后缀名文件，达到动态呈现网页内容的效果。

Global.asa、Global.asax、conn.asp、conn.php等文件比较特殊，作用是在每次执行一个动态脚本的时候，都会先加载该脚本，然后再执行目标脚本。所以只要在Global.asa中写判断用户系统信息的代码（访问来源等），如果是蜘蛛访问则返回关键词网页（想要推广的网站），如果是用户访问则返回正常页面。客户端劫持客户端劫持的手法也很多，但最常用的就两种：js劫持与Header劫持。js劫持目的是通过向目标网页植入恶意js代码，控制网站跳转、隐藏页面内容、窗口劫持等。js植入手法是可以通过入侵服务器，直接写入源代码中；也可以写在数据库中，因为有些页面会呈现数据库内容。js劫持代码案例：

以下代码可以使通过搜索引擎搜索的并点击页面时，执行一段js并跳转到博彩页面；而直接输入网址访问网页时，跳转到一个404页面。1234567891011today=newDate();today=today.getYear()+"-"+(today.getMonth()+1)+"-"+today.getDate();varregexp=/\.(sogou|so|haosou|baidu|google|youdao|yahoo|bing|gougou|118114|vnet|360|ioage|sm|sp)(\.[a-z0-9\-]+){1,2}\//ig;varwhere=document.referer;if(regexp.test(where)){document.write('<scriptlanguage="javascript"type="text/javascript"src="/test.js"></script>');}else{window.location.href="../../404.htm";}代码分析：通过referer判断来路，如果referer来路为空就是跳转到404页面，如果是搜索引擎来的referer里面也会有显示，然后在写代码控制跳转。如果只是控制实现显示不同的内容，可以修改php、asp代码；如果需要劫持搜索引擎搜索框，可以写JS代码来做浏览器本地跳转。当然js功能可以无限扩展，比如可以控制一个ip一天内第一次访问正常，其余访问跳转等等。header劫持，就是在html代码的head中添加特殊标签，代码如下：1<metahttp-equiv="refresh"content="10;url=http://thief.one">header劫持利用的就是MetaRefreshTag（自动转向）功能将流量引走。直接篡改网页内容（比较低级）有些黑客在入侵网站后，喜欢直接篡改网页内容，比如放上自己的qq号，或者作为推广将网页篡改成非法页面。在此我对此做法的黑客表示鄙视，因为这是一种最恶劣最低级的手法。恶劣在于直接篡改网页内容，可能会导致网站无法挽回的损失；低级在于此手法极易被发现，起不到真正的引流推广作用。利用高权重网站二级目录即黑客入侵网站后，在网站二级目录下创建很多自己做推广的页面。为了达到引流的目的黑客往往需要建立大量的二级目录页面，因此需要用到寄生虫程序来自动化的创建页面。此手法也需要入侵高权重网站，获取网站服务器权限。与网页劫持手法不同的是，此手法侧重点在于利用高权重网站自身的优势，在其目录下创建多个推广页面；而网页劫持侧重隐藏自身，其可以做到动态呈现网页内容给客户。因此在实际使用中，黑客经常结合两者使用。此手法与利用泛解析做黑帽seo的手法还是有明显差异的，虽然同样是利用高权重网站本身的优势，但泛解析利用的是二级域名，而此手法利用的是二级目录，当然两者有异曲同工之妙。

利用高权重网站二级目录手法的案例与泛解析案例类似，这里不再详述。既然我前面提到此手法往往需要寄生虫程序的配合使用，那么我们来看看，何为寄生虫程序？它又有何玄机？黑帽SEO剖析之工具篇寄生虫（jsc)植入寄生虫是黑帽SEO常用的一种方法，通过侵入别人网站，植入寄生虫程序，自动生成各种非法页面。之所以叫做寄生虫是因为能够自己触发生成，而不是一次生成，例如在访问网页的时候触发，自动生成页面且形成链轮等。简单来说，寄生虫是一种程序，此程序的功能是能够自己创建网页文件，而创建的条件可以定制，比如说当有人访问某个页面时就会触发寄生虫程序生成一批新的网页文件，或者每天定时创建等等。

我曾经在给一个客户处理应急响应事件时，便遇到过此类状况。每当我清理完所有恶意网页文件后，服务器上都会不时地自动生成一大批新的网页文件。令人头疼的是，当时我完全掌握不了生成新文件的规律。后来我们在一一排除web服务器上的文件时，发现了其中一个恶意的动态语言文件（由于种种原因，样本没有保留下来），此恶意文件就是类似寄生虫程序，会在我们访问此网站的某个页面触发，生成一批新的恶意页面。寄生虫分类寄生虫分为动态与静态，动态寄生虫程序的就是会不断自动生成新的页面（如我上面所述案例），或者是刷新页面以后自动变化内容，动态寄生虫生成的恶意文件往往是asp/php后缀文件；而静态寄生虫程序生成的页面往往都是固定不变的内容，大多为html后缀文件。寄生虫模板寄生虫程序生成的页面往往都是有固定模板的，模板的好坏有时也决定了是否能够被搜索引擎快速收录，以下是我收集的两种寄生虫程序生成的模板页面。

寄生虫模板案例一：

寄生虫模板案例二：

静态寄生虫挂二级目录案例案例来自去年处理的一起入侵检测事件，我们发现目标网站上被挂了非法推广页面，如下图所示：

通过登录web服务器查看，我们发现了网站根目录下多了一个二级目录ds，而ds目录内放满了html文件，都是通过寄生虫生成的。（由于时间久远，html样本文件已丢失）

通过登录服务器日志分析，我们最终发现黑客是通过web应用程序漏洞获取到了服务器权限，并在该服务器上利用静态寄生虫程序创建了大量恶意的html后缀文件，并存放在ds目录下，其利用的便是高权重网站二级目录手法。以上占用大量篇幅介绍了很多黑帽seo的手法，也介绍了寄生虫程序这一自动生成网页文件的利器。那么黑帽seo是如何让这些非法页面快速被搜索引擎收录的呢？我们知道如果这些恶意推广的页面无法被搜索引擎收录，那么黑帽SEO就达不到预期的效果。起初在研究黑帽seo时我也一直在思考这个问题，按常理搜索引擎不应该会收录具有恶意内容的推广页面，而事实是目前我们随便在百度上搜site:.博彩或者site:.色情，就会出现一大批被挂上博彩色情的政府教育机构网站。显然这些页面目前还是能够很好地被搜索引擎收录，甚至能很快被收录，我曾经发现过几分钟内被收录的恶意页面。那么是搜索引擎故意为之，还是有人利用了搜索引擎的某些特征或者说漏洞？要理解这个问题，我想必须得介绍一下黑帽SEO又一大利器—蜘蛛池。蜘蛛池蜘蛛池是一种通过利用大型平台权重来获得搜索引擎收录以及排名的一种程序。原理可以理解为事先创建了一些站群，获取（豢养）了大量搜索引擎蜘蛛。当想要推广一个新的站点时，只需要将该站点以外链的形式添加到站群中，就能吸引蜘蛛爬取收录。简单来说就是通过购买大量域名，租用大量服务器，批量搭建网站形成站群。而这些网站彼此之间形成链轮，网站内容大多为超链接，或者一些动态的新闻内容等。经过一段时间的运营，此站群每天就能吸引一定量的搜索引擎蜘蛛，蜘蛛的多少要看网站内容搭建的好坏以及域名的个数。当蜘蛛数量达到一个量级且稳定以后，就可以往里面添加想要推广的网页，比如通过黑帽SEO手段创建的非法页面。这一过程就好比在一个高权重网站上添加友情链接，会达到快速收录的目的。蜘蛛池交易平台我随便百度了一下，发现互联网上存在很多蜘蛛池交易平台，即可通过互联网上的蜘蛛池推广恶意网页。这种方式省去了自己搭建蜘蛛池的麻烦，却也为黑帽seo人员提供了便利。在收集资料时，我挑选了其中一个交易平台，截图如下：

蜘蛛池站点案例在为本篇文章收集黑帽SEO相关资料时，我发现了一款经典的蜘蛛池站点，在此分享。

其特点是内容动态生成，刷新页面发现内容随机改变

很明显此网站内容都是通过动态寄生虫程序生成的，且不断变化内容来增加百度对其收录。（百度目前对原创内容的收录率比较高）几大搜索引擎收录情况百度搜索引擎收录情况：

谷歌搜索引擎收录情况：

bing搜索引擎收录情况：

搜狗搜索引擎收录情况：

通过对比几大常用搜索引擎对此蜘蛛池站点的收录情况，我们不难看出这套蜘蛛池程序目前只对百度搜索引擎爬虫有效。当然78条的收录量对于一个蜘蛛池站点来说不算很高，说明百度对此手段已有所防范黑帽SEO剖析之隐身篇隐身的技术在处理的一些入侵应急响应事件中，我们发现有些网站被挂恶意页面达数月甚至数年之久，而在此期间管理员竟然毫无察觉。有时这并非是管理员的粗心大意，而是黑客过于狡猾。在了解了我之前所介绍的网页劫持手段后，我想你大概能了解这其中的缘由了，网页劫持能控制跳转控制页面呈现的内容，这便是难以被管理员发现的主要原因。除此之外，寄生虫程序能够自动生成网页也使得其生存能力很强，不易被根除。其次我们在发现网站被挂恶意网页后，通常会登录服务器进行查看，而有时我们很难找到被非法篡改或者被恶意植入的脚本文件，因为此类型文件被黑客精心地隐藏了起来。那么除了上述手段之外，黑客还有哪些手段来隐藏自身，使之生生不灭？网页劫持控制跳转网页劫持中的控制跳转就是为了隐藏网站已被入侵的事实，让网站管理员不容易发现。nginx二级目录反向代理技术通过配置nginx/apache等中间件配置文件设置目录代理，将服务器上某个目录代理到自己搭建服务器上的某个目录。即浏览者在打开thief.one/2016/目录时，实际访问到的资源是自己服务器上的某个目录（目标服务器会去自己服务器上拿数据）。这种手法不需要修改目标服务器网站源码，只需要修改中间件配置文件，不易被删除也不易被发现。隐藏文件给文件设置属性隐藏。我曾经遇到过此类事件，当时我们一个技术人员通过肉眼选择了服务器上一批web目录下的文件进行copy。而当我们对这些文件进行扫描时，并未发现任何异常，一切都变得匪夷所思。而最后的结果让我们哭笑不得，原来恶意文件被设置成了属性隐藏，通过肉眼观察的技术人员并没有将此文件copy下来，因此这也算是一种有效的障眼法。不死文件不死文件指的是删除不了的webshell或者是非法页面文件（.html或者动态文件），此类事件在实际中没有遇到过，但理论上确实可行。设置畸形目录目录名中存在一个或多个.(点、英文句号)1mda..\该目录无法被手工删除，当然命令行可以删除1rd/s/qa..\特殊文件名其实是系统设备名，这是Windows系统保留的文件名，普通方法无法访问，主要有：lpt,aux,com1-9,prn,nul,con，例如：lpt.txt、com1.txt、aux.txt，aux.pa