概述

由于互联网入口流量主要被搜索引擎占据，网站在搜索引擎中的排名直接影响到市场营销效果，因此SEO服务应运而生。SEO(Search Engine Optimization)全称为搜索引擎优化，是指利用搜索引擎的规则提高网站在相关搜索引擎内的自然排名。SEO服务分为两种：一种是合法的技术手段，通过站内优化、站外优化、内容建设等合理手段提升网站排名；第二种是使用作弊手段快速提升网站在搜索引擎内的排名，比如使用蜘蛛池、暗链、站群、客户端劫持、服务端劫持等黑客技术手段，这种通常称为黑帽SEO。

黑帽SEO服务的对象通常为非法的产品或网站。与合法的SEO技术服务相比，黑帽SEO的效果非常快速，能够在短时间内提升排名进行快速推广，且推广的网站内容不受法律约束。黑客的主要目标是牟取非法的经济利益，黑帽SEO是黑客快速变现的重要手段。在地下网络世界已经形成了一条完整的黑色产业链：黑客利用网站存在的安全漏洞，通过入侵手段获取网站的控制权并植入后门，将后门出售给黑帽SEO运营者，黑帽SEO通过暗链、网站劫持等技术手段篡改网站内容，为黄、赌、赌等非法站点进行搜索引擎推广。

阿里云安全团队于近日跟踪到了一个利用web漏洞入侵网站并通过劫持网站首页进行批量SEO推广的黑产团伙 。此黑产团伙控制网站数量巨大，推广的网站多为非法的博彩类网站，对互联网产业存在巨大的危害。被入侵网站往往被植入多个后门，可被黑客重复利用，成为黑产的牟利工具，存在巨大的安全风险。该黑产团伙的上游黑客组织掌握了大量IP基础设施，为了绕过安全防御，每天使用数千个代理/秒拨IP进行疯狂入侵。

由于该黑产团伙控制的外部链接域名注册邮箱均为dasheng123123@gmail.com，因此我们将其命名为DaSheng。

被控制网站分布

经过长期跟踪发现，仅2019年1月到3月，该黑产团伙就控制并利用了至少12700个站点。从被植入暗链网页的顶级域名分布来看，".com"占比最多，占总数的72%。被植入暗链的网站存在为数不少的非营利组织/政府网站，绝大部分为地方性行业协会网站，但也有像中国XXX发展研究中、中国XXX发展联盟等全国性协会网站。行业协会/政府网站具有较高公信力，黑帽SEO“傍”上这些网站能够在搜索引擎里快速提高排名，但是发布的“黄赌毒“信息严重影响了网站的公信力。网站存在暗链也意味着存在严重的安全漏洞，如果不及时修复有可能引发重大的网络安全事件。

图1:被劫持网站顶级域名分布

图2:某政府网站被植入暗链

黑帽SEO手法分析

该黑产团伙通过被入侵网站的webshell后门在网站首页的头部插入如下代码，该代码会修改页面title、keywords、description，并判断浏览者是否是百度搜索引擎，如果不是搜索引擎则将网站titile修改为合法内容，以达到隐藏自己的目的：

被修改的内容通过HTML的ASCII编码隐藏，还原后为常见的博彩类关键词：

第二段js脚本是经过混淆编码的，执行后得到新的js，并链接到黑产团伙控制的外部javascript

执行后的js：

该js代码会自动向百度站长平台和360站长平台推送网页内容，并通过referrer判断浏览者是否来自搜索引擎，如果是则跳转到真实的被推广网站。