一个被黑客光顾的网站,使用iframe框架实现

 2019-02-01 21:05:46  1599 浏览  0 评论   赞

实例解析一个被黑的网站,该网站被黑客放置了广告代码,分析广告代码的工作原理和被黑的方式,并试图挖掘黑客的蛛丝马迹,最后提出一个解决办法

一个被黑客光顾的网站,使用iframe框架实现

图159-1:黑客

前一段时间看到一个网站,刚开始以为是一个广告网站,无意间将滚动条向下拖动了很长一段距离,才看见有用的内容。到这里,起初以为是这位站长打广告的方式也太暴力了吧,后来想想难道是被黑了。于是今天准备来研究一下这个被黑的网站。

被黑后的效果

该网站的任何页面打开之后,在导航栏与正文之间会插入广告页面。页面高度为4800像素,这个高度是个什么概念?一般显示器的高度在1000像素左右,4800像素就是5个屏幕的高度,也就是说向下拖动五个屏幕高度后才能看到正文。

被黑后的效果_一个被黑客光顾的网站,使用iframe框架实现

图159-2:导航栏和广告的开始

被黑后的效果_一个被黑客光顾的网站,使用iframe框架实现

图159-3:广告结束和正文

广告的内容:首先说你是不是工资不够用,然后江苏苏州的某女士,加入他们的微信后一天赚了两万块钱,然后是各种吹嘘、美女、豪车,最后是一些所谓的留言,都是赚到大钱的留言。

网站源码分析

网站源码分析_一个被黑客光顾的网站,使用iframe框架实现

图159-4:开发者工具中的广告代码

查看网页源文件,并没有什么特别的代码。利用开发者工具打开,可以看到广告页面是通过框架iframe的方式插入的。网页源代码中没有这个框架,所以可以想见,这个框架是通过js脚本插入的。再次回到网页源文件,来找找这个js文件。

网站源码分析_一个被黑客光顾的网站,使用iframe框架实现

图159-5:被插入的广告脚本

从上图可以看出js文件保存在/templets/js文件夹,该网站的其它js也保存在这个文件夹,说明这位黑客不仅成功获取到了该网站的管理员权限,而且可以任意上传文件到服务器中,可以说这个网站已经完全被控制了。下面是这个js文件的代码,其功能就是在当前位置插入一个框架,宽度为100%,高度为4800像素,网址为wz00.vip。

document.writeln("");

解决办法

从上面的分析可以看出,这位黑客通过某些方式获取到了管理员的账号和密码,然后上传pc.js文件,然后在网站的模板中添加了一行引用js文件的代码。

最简单的解决方法是删除pc.js文件即可,网页打开时如果找不到pc.js,也就不会显示广告了。如果站长懂得如何修改网站的模板,那就在网站模板中删除引用pc.js文件的代码就可以了。不清楚这个网站模板是什么样的,因为所有的页面都有这个广告,如果是统一的模板,那就删除一个就可以了,如果是多个模板就要把每一个中的都删除。接下来要做的事情就是修改管理员密码了。

广告网站信息

广告网站是wz00.vip,来看看可以查到什么信息。

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-6:whois信息

whois信息:

  • 注册商:22net,在爱名网注册的域名,国内域名注册商
  • 联系人:和公司名称是一个,汉语意思是“修改隐私权”,whois反查的结果很多,不具有识别特征
  • 创建时间:2018-12-26注册,看来搭建起来还没有几天
  • DNS:DNSPod,这是非常出名的免费DNS服务提供商

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-7:备案信息

没有备案信息,这倒不奇怪,这种网站要是敢备案就太嚣张了。

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-8:IP地址

IP地址是香港,搭建在香港的网站不需要备案。

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-9:ip的whois信息

ip的whois信息中有个sunnyvsion,查询之后发现是个网站服务器提供商,可能网站服务器是这里买的(注意:打开这个网站需要穿墙)。

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-10:sunnyvsion公司

广告网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-11:百度收录

百度收录只有一条,说明这个网站就只有这一个用途。

从上面介绍可以看出,基本查不出来任何能够识别对方身份的信息。

被害网站信息

被害网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-12:域名起止时间

2016-02-26注册的域名,到现在快满3年了。

被害网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-13:备案信息

从备案信息看是一个企业网站,不过注册的网站名称是企业网站,实际网站的内容和企业没有任何关系,可能是中途转手给别人使用的吧。

被害网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-14:百度收录量

被害网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-15:百度权重

百度权重是6算是一个不错的网站了

这个网站的排名情况虽然说不上好,但算是一个不错的网站了,从我第一次发现(百度搜索时发现的),到今天有二十天左右了吧。为什么这么长的时间对方都没有发现呢,从网站首页的文章更新情况看,每天都有一两篇新文章出现,难道负责更新文章的人,更新完文章后都没有打开网站看看。

经过上面的分析,一方面是给大家长长见识,知道一种网站被黑的情况,另一方面是告诉大家网站被黑不可怕,只要没有隐私信息,黑客们也就是挂挂广告而已,删除非常方便。网站被黑是一个很复杂的问题,如果是直接可以看到的,像本文的广告,发现比较容易,如果是插入到源代码中,页面看不见的查找起来就麻烦了。大家在日常管理网站时,要提高警惕。

被害网站信息_一个被黑客光顾的网站,使用iframe框架实现

图159-16:4800像素高的空白框架

一个有趣的事情。就在本文结束的时候,再次打开上面的网站,广告页面竟然变成了一片空白。查看源代码,唯一的修改是上面那个pc.js的代码中src的值变成了空值。现在的pc.js仅仅是加载了一个4800像素高的空白框架。很奇怪,对方既然已经找到了根源所在,为什么不直接删除引用js的代码,或者将js文件清空,这样网站中就不会出现4800像素高的空白区域了。

转载请注明:网创网 www.netcyw.cn/b159.html

()
发表评论
  • 昵称
  • 网址
(0) 个小伙伴发表了自己的观点
    暂无评论

Copyright © 2018-2022 小王子工作室 版权所有 滇ICP备14007766号-3 邮箱:yangzy187@126.com