黑色产业链之政府网站竟成医院门诊

在加速乐(www.jiasule.com)拦截日志中,我们发现一个奇怪的现象,大量爬虫访问一个政府网站,且仅访问部分目录下的新闻页面。人工分析了一下,全部是广告。内容围绕:变美,性福,生孩子三件事。涉及此类人生大事,基本都是纠纷,乃至欺诈的高发地。基本可以确定,这个政府网站已经被黑了,且黑的非常彻底。

先来看看网站:

地方政府网站,phpcms v9搭建,alexa国内排名在2000左右,植入的新闻型广告在搜索引擎的收录也很不错。网站加入加速乐的时间是2012-09-05 11:26:12,从广告内容发表时间来看,最早的一篇出现在2012-06-07 09:31:53,由此推断该站在加入加速乐之前,就已经被攻击者获取了管理员的帐号密码。

接下来来看看黑产者每天的工作吧:

从拿下网站开始,每天很准时,十点之前开工,下班时间比较不固定,从下午5点到晚上12点不等。和搞IT的差不多的工作时间。看了一下今天的情况,保守估计已经发了600篇左右,是不是秒杀了很多站长啊。话说为啥天天这么发还没被发现呢?稍后议

放上去的都是些什么内容呢?

打开新闻页面,会弹出在线专家客服,扫二维码,可以查到公众账号。对于普通网民来说,看上去可信度是不错的。

对广告页面url进行细致分析,其中一些非常有规律,总结了一下,主要分为 mrzx,qywy,xyqz ,这应该属于某个逻辑性比较好,喜欢分类,亦或是有强迫症的人吧。

还有大量未分类的,应该是其他黑产组织的痕迹。比如:

我们会发现他们,源于黑产者一个很好的职业习惯,每天都会来看确认一下广告还在不在。只是爬虫已经被加速乐拦截。

详细分析了一下,用爬虫来检测广告页面的 IP 一共有 205 个。从请求头和访问的页面来看,这些爬虫属于多个不同的黑产者。

 

之前提到每天这样疯狂的发广告,为啥没被发现呢?为什么政府网站会吸引大量黑产者?

其一 和政府网站本身有关系,通常地方政府网站都是外包给其他公司做,完成后基本会落在某个小姑娘手里,仅负责更新下新闻之类的。基本不会排名,安全之类的问题

其二 黑产者发布到网站的链接,正常访问网站的用户是不会看到的。如果不篡改首页,很多企业,政府网站不会察觉到网站出现了问题

其三 政府网站在搜索引擎的权重比较高,会获得比较好的收录

至于本次分析的这家网站,也不排除内鬼的可能性。

 

这个案例里比较遗憾的是,还没有确认黑产者利用什么方式获取了管理权限。

 

安全永远需要从自身做起,建议广大的站长朋友,关注安全,重视安全,保护好自己,也保护好访问网站的每一位用户。

 

附:爬虫IP列表

 

======

内容首发加速乐微信公众账号,公众账号搜索“加速乐”或扫描以下二维码

One thought on “黑色产业链之政府网站竟成医院门诊

发表评论

电子邮件地址不会被公开。