SEO黑帽 - 神奇的端口转发黑帽SEO手法

 前言

近日360主机卫士监测到部分客户主机流量异常,并且接到客户通知服务器压力莫名增大,经过主机卫士安全研究员的详细调查分析之后,真相慢慢浮出水面。

 

如何发现

经过用户许可,我们连接上服务器以后,发现服务器自动启动了一个bat批处理脚本

里面的内容是:

netsh interface portproxy show all

返回结果如图:

 

360主机卫士会定时在凌晨自动扫描客户的服务器,并且自动清理可以清理的木马,理论上是不会出现被入侵的情况,但是如果服务器出现类似于这种可疑的脚本或者命令,也应该提高警惕,查清来源。


这条命令的核心是netsh,那么netsh到底是什么东西呢?

 

NetSH (Network Shell) windows系统本身提供的功能强大的网络配置命令行工具。 

 

然而正好因为netsh的功能太强大了,并且是windows系统本身自带的命令行工具,所以才导致了所有杀软均不会报毒和拦截,并且可以实现其他神奇的功能。

 

当我们运行netstat -an命令的时候可以看到客户主机端口多了很多很多端口,10001-60000的端口几乎都开了,然而当我们在搜索引擎搜索这个网站的时候,我们惊呆了!!!

 

其他的端口均被搜索引擎收录并且排名靠前,这对站长来说无疑是一个莫大的打击。

 

想要解决问题,就一定得先了解这是一个什么样的原理。

 

如果我们把文章开头的bat批处理命令和netstat -an命令显示很多端口联系起来,似乎这件事情就很容易说的通了,那就是:“黑客利用netsh把服务器大于10000的所有端口,全部转发到了恶意的ip上,以至于搜索引擎在收录时可以收录到恶意网站的内容”。

 

随后我们在搜索引擎上扩大了搜索范围,发现很多网站均已中招,尤其是排名靠前的网站中招的非常之多。

 

如何检测是否中招

检测网站是否中招有很多种,这里列举三种:

 

1、使用netsh查看

打开cmd命令行执行

netsh interface portproxy show all

如果现实有很多端口,基本可以确定为存在风险。

比如:

 

2、搜索引擎搜索:

Site:zhuji.360.cn:10010

(zhuji.360.cn换成自己的域名,如果存在搜索结果,那么大多为中招,可能服务器已经被入侵)

比如:

3、执行cmd命令:

Netstat -an

如果大于10000的端口开放了很多,那么就有必要深度的检查一下啦。

 

已经中招如何解决

可以直接使用netsh的命令删除掉端口转发即可修复:

netsh interface portproxy delete v4tov4 listenport=10010

 

其中红色的10010为被转发的端口,如果是多个端口可以打开cmd命令行执行如下命令:

for /L %%i in (10000,1,65535) do c:\windows\system32\netsh.exe interface portproxy delete v4tov4 listenport=%%i

(这个命令的意思是所有大于10000的端口转发删除掉,注意,在windows7以上系统需要在管理员权限下运行)

 

同时,在发现这种情况下,首先要立即修改自己的密码,这些密码包含系统密码,FTP密码,网站后台,数据库、vnc等这类密码。同时对网站进行一次安全检测。

如何预防

1、 安装主机卫士,对web攻击进行防护,并定期扫描web网站后门。

2、 定期对网站进行漏洞的扫描。可以加入webscan(http://webscan.360.cn来进行漏洞扫描。发现漏洞,及时修复。

3、 设置一个强壮的密码(远程连接、FTP、网站后台、数据库(mysqlsql serveroraclevnc等密码)。

4、 及时更新系统补丁。

你可能感兴趣的:(经验分享,SEO黑帽技术,seo,黑帽,关键词排名,weimjsam)