Time: 2020-02-19  知识星球

web实战篇-第4篇:新闻源网站劫持

  新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑。

  现象描述:

  某新闻源网站首页广告链接被劫持到菠菜网站

等级保护资讯网

  有三个广告专题,链接形式如下:

  等级保护资讯网

  点击这三条链接会跳转到博彩网站。简单抓包分析一下过程:

等级保护资讯网

  可以发现此时这个返回页面已被劫持,并且加载了第三方js文件,http://xn--dpqw2zokj.com/N/js/dt.js,进一步访问该文件:

等级保护资讯网

  dt.js进一步加载了另一条js,访问http://xn--dpqw2zokj.com/N/js/yz.js

等级保护资讯网

  我们发现链接跳转到https://lemcoo.com/?dt,进一步访问这个链接,网站为博彩链接导航网站,访问后会随机跳转到第三方赌博网站。

等级保护资讯网

  问题处理:

  找到url对应的文件位置,即使文件被删除,链接依然可以访问,可以发现三条链接都是以“sc”后缀。

  对Nginx配置文件进行排查,发现Nginx配置文件VirtualHost.conf被篡改,通过反向代理匹配以“sc”后缀的专题链接,劫持到http://103.233.248.163,该网站为博彩链接导航网站。

等级保护资讯网

  删除恶意代理后,专题链接访问恢复。


18933931888

工作时间:法定工作日,9:00~18:00

广州万方计算机科技有限公司 ©版权所有 2019-2020 粤ICP备08124637号

本站文章内容部分来源于网络转载,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请联系删除。