几乎每个人都有过这样的经历：手机电脑上网时却莫名其妙弹出满屏的广告，并跳转到其他网页……那么，背后的真相究竟是什么，黑客如何进行网页篡改，网站又该如何防范。本文分析国内网站内容篡改现状，知己知彼，方能百战不怠。

网站篡改攻击定义和动机

1、地下经济

黑帽SEO

黑客攻击的主要动机之一便是谋求经济利益，SEO是搜索引擎优化（Search Engine Optimization）的缩写，由于搜索引擎占互联网入口流量的60%以上[1]，对搜索排名的优化直接影响到网站的市场营销效果。为提升搜索排名，与通过内容创造以优化网站内容质量的白帽SEO方案相比，非法的黑帽SEO往往非常快速而且有效。所以在网络地下黑产的世界，黑帽SEO是流量快速变现的重要手段。

网络博彩、网络色情等地下经济背后是巨大的利润，因此此类非法服务运营者经常和黑帽SEO运营者合作，通过购买黑客攻陷的合法站点控制权，批量篡改被控网站的页面，实现博彩站点推广。

以下几个截图展示黑帽SEO的典型效果，可以看到，通过嵌入各类博彩长尾词[2]及博彩网站链接，篡改合法网站页面，从而让合法站点成为非法博彩站点的引流工具。

利用篡改合法gov.cn网站实现黑帽SEO

向合法网站标题和内容嵌入博彩链接及关

恶意代码嵌入

向篡改的站点嵌入恶意代码，如远控程序或病毒，并通过欺骗性的文本引诱网页浏览者下载安装，进一步通过中招的主机拓展僵尸网络或实施信息窃取从而变现也是部分黑客攻击的重要手段之一。参考文献[5]介绍了一种通过向被篡改网站嵌入虚假浏览器更新的方式实现攻击浏览者计算机,拓展僵尸网络的手法。

通过虚假的浏览器更新提示欺骗浏览者下载恶意脚本[5]

资源滥用(挖矿劫持)

在Coinhive提供浏览器挖矿服务接入API后，通过篡改网站，向被篡改站点网页嵌入浏览器挖矿脚本，从而控制网站浏览者计算机资源为攻击者挖矿，也成为一种有效的地下经济变现方式。参考文献[6]详细介绍了该种攻击方式的技术细节。

挖矿劫持浏览器计算资源进行挖矿[7]

2、纯炫耀目的黑客行为主义

在网络空间，hacktivism（或hactivism）被称为黑客行为主义，特指通过使用技术手段，意图达成政治或社会影响的一种行为，也被称为“网络恐怖主义”[3]。

国外非法组织对我国站点的恶意篡改

网站内容篡改趋势

（注：以下分析主要关注SEO类型和涉及政治的炫耀式篡改，暂不涉及恶意代码注入及资源滥用型篡改。）

1 、SEO篡改

近期SEO篡改类别

在最近半年的监测过程中，我们发现博彩、色情、游戏类篡改是黑帽SEO的主流类型。相比过去，医疗、代孕广告类数量减少，可能和监管机关对非正规医疗机构推广限制有关。

篡改监控引擎发现的篡改类型占比情况

近期SEO来源统计

对近期收集分属于2563个domain的22939个SEO篡改页面的搜索引擎来源进行统计：

基于上述数据，可通过下图直观了解SEO篡改来源于国内不同搜索引擎的占比，以及各个搜索引擎的风险提示占比。其中SEO篡改来源占比越高意味着被利用进行SEO的推广明显较多，而风险提示占比则体现各搜索引擎对SEO篡改的监控力度。建议SEO篡改来源占比较高的搜索引擎增加黑产打击力度，以此降低用户发生经济损失的风险。

SEO来源及搜索风险提示占比

新SEO方式出现

近期深信服发现一种重要的网站黑帽SEO趋势：注册已经被政府机关抛弃但曾用过的域名用来搭建博彩等暴利网站，大量政府机关含有旧域名链接的网页就成了非法站点的天然外链，可以有效提升其PR值。

1、中央办公厅发布文件要求政府使用.gov.cn域名前，大量省、地市政府公务机关站自行申请域名，往往以.com 等注册。

2、.com政府网站存续期间，不同机关互相以.com站点引用。

3、中央发布文件，要求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点，因为转换时间有先后，导致现存政府站点的旧页面往往依然留存有前述政府站点旧.com域名。

4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃的政府站点的.com 旧域名，搭建博彩类站点，利用此域名仍然存在于其他政府站点旧页面上存在的外链，获得高PR值天然优势。

一个曾经的公益站点在域名过期后成为黑帽SEO工具

从上图可以看到，曾经的公益站点 由于域名过期，现在竟然也成了博彩类站点，曾经指向该站点的合法页面，也成了天然的SEO页面。

SEO反映的近期博彩热度情况

从近期出现的博彩黑词的频率看，主要集中在北京赛车、时时彩、分分彩等比较流行的非法在线赌博游戏类型，建议公安机关对频次最高的在线赌博加强打击力度。详细博彩游戏频次分布如下：

2、某政治黑客团体篡改攻击事件和趋势

近年来，随着我国国际影响力不断扩大，海外反华及敌对分子不断对我国境内站点进行滋扰，如以南海诸岛及国内社会事件为主题的对我国境内站点的篡改攻击。

以某具有政治目的的黑客团体为例，从2012年5月至今，该组织共篡改我国境内站点约800个，以下统计各省受其攻击次数趋势（从2012年底至2018年底）：

站点名称含有地级市名的被篡改站点数量的所属区域统计

从历史看，浙江、北京、广东、江苏、上海、山东等IT发展大省的站点被篡改比例较高。

某涉政黑客组织对我国境内站点篡改数量趋势

从篡改数量变化趋势(上图)看，上海、山东、辽宁、云南、湖南等省在2018年被上述涉政黑客组织攻击的占比在逐渐增高。

从行业看，排名第一位的是各类教育机构，包括中小学、职业教育、高校及科研机构等；排名第二位的是政府及各类政务服务平台及民主党派网站等；其次是各类行业服务、企业、社会服务等站点；统计分布图如下：

我国被篡改站点的行业分布

2013年中至2016年中，篡改内容基本是各种不文明用语加基于政治、社会的新闻事件的对政府的恶意中伤和诽谤。从2017年2月，其篡改文本风格开始发生较大变化，趋于幼稚化，但对被篡改站点的声誉依然带来十分不利影响。

网站篡改攻击手法

利用网站漏洞实现对网站主机控制并篡改网站页面是主要的攻击手法，基于2016年一针对全球被篡改网站的统计分析[4]表明，文件包含、SQL注入以及对已公开漏洞的利用攻击是网站篡改的主要原因。

被篡改网站的篡改原原因统计[4]

网站篡改防御建议

基于对网站黑客在他们攻击的站点上的签名与ExploitDB漏洞提交者账号间的对比分析，文献[4]展示了对被篡改网站漏洞类型的统计，可见Web应用漏洞是网站被篡改的主要原因。

网站篡改原因统计

在此，对广大网站维护者的防篡改建议如下：

（1）确保网站使用了必要的安全策略：如强密码、正确的管理员权限分配、及访问安全策略配置；

（2）使用应用层防火墙以便过滤、监控、并阻止有害的流量，Web应用层安全必不可少；

（3）务必在开放访问的所有Web应用开发阶段使用必要的安全编码规则；

（4）经常使用安全监测机制验证网站的安全性；并对Web应用进行包括SQL注入漏洞、XSS漏洞等常见漏洞检测；

（5）确保自己的Web应用、中间件、操作系统等始终处于必要的补丁更新状态，避免黑客利用已知漏洞攻击自己的站点。

参考文献

[1] searchenginewatch.com, Organic Search Accounts for Up to 64% of Website Traffic[STUDY],https://searchenginewatch.com/sew/study/2355020/organic-search-accounts-for-up-to-64-of-website-traffic-study, 2014

[2] Jayson DeMers, How to Identify Long-Tail Keywords for Your SEO Campaign,

https://www.advancedwebranking.com/blog/how-to-identify-long-tail-keywords-for-your-seo-campaign/ , 2013

[3] https://en.wikipedia.org/wiki/Hacktivism

[4] Marco Balduzzi, Ryan Flores, A deep dive into defacement,

https://documents.trendmicro.com/assets/white_papers/wp-a-deep-dive-into-defacement.pdf, 2017

[5]  Jérôme Segura , ‘FakeUpdates’ campaign leverages multiple website platforms, https://blog.malwarebytes.com/threat-analysis/2018/04/fakeupdates-campaign-leverages-multiple-website-platforms/, 2018

[6] Sangfor_blueteam,攻防演练：coinhive网页挖矿详解,

https://mp.weixin.qq.com/s/590ipsiQoygSue6fJeeepA , 2018

[7] 陆雨柔, 挖矿 | 劫持普通用户 CPU 进行挖矿？YouTube 用户被迫成为“矿工”,https://36kr.com/p/5116516.html, 2018

*本文作者：千里目安全实验室，转载请注明来自FreeBuf.COM