【青云原创】某大型新闻网被黑客恶意镜像的处理过程！

　　这个案例是前不久接的一个客户，因为比较典型，现整理出来供大家交流学习！

　　网站镜像，就是黑客利用技术手段劫持正常网站的流量和关键字转移到他指定的域名上去，因为这种做法对提升新域名的权重和SEO优化有很大帮助，其实就是一些SEO大神掌握了各大搜索引擎的规则后结合黑客技术来劫持各种安全意识薄弱又有大量流量的网站，从而达到惊人的灰色收入的一个目的。另外还有一种更高明的手段，就是直接买通大站的网站管理员或技术，每月给大量的红包让他合法的手段给你挂上他想挂的黑页，我对这种手段已经非常了解了，因为有不少黑客想买通我让我帮他们给我的大流量客户挂马，这类人通常遇到都是直接拉黑了，现在的黑客们为了快速达到自己的目的也算的上是无所不用其极了！

　　先来感受一下黑客大神的牛逼之处！

　　【原站】

中国煤炭新闻网

新闻页面

　　【镜像网站】

镜像站

新闻页面

解析IP

360安全中心拦截提示

新闻页面

　　【搜索引擎被迷惑后】

搜索引擎排名

搜索引擎排名

搜索引擎排名

搜索引擎排名

　　【解决方案】

　　在我们经常处理的这类问题中，现在黑客们经常用的镜像手段就是采集和反向代理，他们总有一个或几个ＩＰ和搜索引擎的蜘蛛一样不断的访问你网站内他们需要的内容并偷走转化为他们的伪原创文章来骗取搜索引擎的信任，一般我们可以协助用户通过向搜索引擎和域名商投诉让他们封掉这类镜像网站，但真正要处理问题时发现搜索引擎和域名商全都是睁一只眼闭一只眼，置之不理的状态，真的给他们惹烦了就给你一堆表格，你发证件和证据等书面材料走流程处理吧，到这里基本已经走不动了，因为他们收到资料后也不会理你，最多你催的急了回复个证据不足，重新整理类的，让遇到这类情况的用户那真是一个头两个大，于是客户就找到了我们，既然他们是通过技术手段入侵的那也只能通过技术手段来处理掉他们了，从另一个角度来说，这是一个真正的和黑客大神斗智斗勇的正面交锋。

　　现在我们来说下处理这类问题的思路，就是找到黑客的镜像源ＩＰ，封掉他，虽然一句话就搞定了，但是追查源ＩＰ的过程也是需要极大的耐心和精力才可以的，一般刷域名的黑客大神都有一堆马甲【已经被控制的肉鸡】，我们的任务就是把他的马甲一个一个找出来封掉。

　　首先我们要到了客户的后台资料，然后进入发布外界看不到的测试文章，但黑客的马甲可以看到，因为他一会儿一来检查有没有新内容出现，有了就偷走，基于这个特性，就为我们发现他的马甲提供了一个便利的条件，通过测试文章的发布，然后再根据产生的日志顺藤摸瓜自然就找到他了，然后通过策略将发现的马甲封掉即可！

　　【后台发布测试文章】

后台发布测试文章

后台发布测试文章

后台发布测试文章

　　【提取日志内刚发布的文章的ID出来】

提取日志

提取日志

提取日志

　　【发现目标，封之！】

封掉镜像网站的采集IP

　　【附青云团队常用的ＩＰ安全策略及设置方法】

YunSafe专用IP安全策略

http://www.yunsafe.com/uploads/soft/ipsec.rar

IP安全策略添加禁止IP段的具体操作步骤

开始 — 运行 — gpedit.msc — 计算机配置 — Windows设置 — 安全设置 — IP安全策略 — YunSafe.com安全策略 — 双击关闭的 — 再双击拒绝列表 — 然后点添加 — 描述里输入你要加的IP — 然后点前面的地址 — 然后在源地址里选择一个特定的IP子网 — 如你要加的IP是116.2.154.32 — 就输入116.2.0.0下面是255.255.0.0 — 然后在下面的目标地址里选我的地址 — 最后点确定 — 一路确定 — 应该是四次确定整个过程就完成了！

作者：青云安全

【青云原创】某大型新闻网被黑客恶意镜像的处理过程！

原文：http://www.yunsafe.com/thread-102302-1-1.html

版权声明：本文为青云安全原创文章，转载请附上博文链接！