SEO黑帽 - 神奇的端口转发黑帽SEO手法

 前言

近日360主机卫士监测到部分客户主机流量异常，并且接到客户通知服务器压力莫名增大，经过主机卫士安全研究员的详细调查分析之后，真相慢慢浮出水面。

 

如何发现

经过用户许可，我们连接上服务器以后，发现服务器自动启动了一个bat批处理脚本

里面的内容是：

netsh interface portproxy show all

返回结果如图：

 

360主机卫士会定时在凌晨自动扫描客户的服务器，并且自动清理可以清理的木马，理论上是不会出现被入侵的情况，但是如果服务器出现类似于这种可疑的脚本或者命令，也应该提高警惕，查清来源。

这条命令的核心是netsh，那么netsh到底是什么东西呢？

 

NetSH (Network Shell) 是windows系统本身提供的功能强大的网络配置命令行工具。 

 

然而正好因为netsh的功能太强大了，并且是windows系统本身自带的命令行工具，所以才导致了所有杀软均不会报毒和拦截，并且可以实现其他神奇的功能。

 

当我们运行netstat -an命令的时候可以看到客户主机端口多了很多很多端口,从10001-60000的端口几乎都开了,然而当我们在搜索引擎搜索这个网站的时候,我们惊呆了！！！

 

其他的端口均被搜索引擎收录并且排名靠前，这对站长来说无疑是一个莫大的打击。

 

想要解决问题，就一定得先了解这是一个什么样的原理。

 

如果我们把文章开头的bat批处理命令和netstat -an命令显示很多端口联系起来，似乎这件事情就很容易说的通了，那就是：“黑客利用netsh把服务器大于10000的所有端口，全部转发到了恶意的ip上，以至于搜索引擎在收录时可以收录到恶意网站的内容”。

 

随后我们在搜索引擎上扩大了搜索范围，发现很多网站均已中招，尤其是排名靠前的网站中招的非常之多。

 

如何检测是否中招

检测网站是否中招有很多种,这里列举三种：

 

1、使用netsh查看

打开cmd命令行执行

netsh interface portproxy show all

如果现实有很多端口，基本可以确定为存在风险。

比如：

 

2、搜索引擎搜索：

Site:zhuji.360.cn:10010

(将zhuji.360.cn换成自己的域名,如果存在搜索结果,那么大多为中招,可能服务器已经被入侵)

比如：

3、执行cmd命令：

Netstat -an

如果大于10000的端口开放了很多,那么就有必要深度的检查一下啦。

 

已经中招如何解决

可以直接使用netsh的命令删除掉端口转发即可修复：

netsh interface portproxy delete v4tov4 listenport=10010

 

其中红色的10010为被转发的端口,如果是多个端口可以打开cmd命令行执行如下命令：

for /L %%i in (10000,1,65535) do c:\windows\system32\netsh.exe interface portproxy delete v4tov4 listenport=%%i

（这个命令的意思是将所有大于10000的端口转发删除掉,注意，在windows7以上系统需要在管理员权限下运行）

 

同时，在发现这种情况下，首先要立即修改自己的密码，这些密码包含系统密码，FTP密码，网站后台，数据库、vnc等这类密码。同时对网站进行一次安全检测。

如何预防

1、 安装主机卫士，对web攻击进行防护，并定期扫描web网站后门。

2、 定期对网站进行漏洞的扫描。可以加入webscan(http://webscan.360.cn) 来进行漏洞扫描。发现漏洞，及时修复。

3、 设置一个强壮的密码（远程连接、FTP、网站后台、数据库（mysql，sql server，oracle）vnc等密码）。

4、 及时更新系统补丁。