黑暗中的产业链:攻击网站后添加暗链状况(3)

近期还曝出多起web应用官方网站提供下载的web应用中包含后门的安全事件。这些带有后门的web应用通常是被黑客替换掉的，黑客入侵该应用的官网后，向应用中植入后门并替换原来提供下载的应用。当站长们从官方网站下载了这些带有后门的web应用并完成部署时，黑客就可以利用这些后门来挂“暗链”或挂马。通常这些后门都有一定的特征，黑客可以根据特征编写自动化程序来批量挂“暗链”或挂马。

图：漏洞提交网站wooyun上近期公布的被植入后门的web应用列表

“暗链”危害不容忽视

暗链对于普通用户没有实质性的危害，但是暗链所指向的网站通常是不正规的网站，甚至是非法网站。据统计数据显示，暗链所指向的网站主要有以下几种类型：网游私服、医疗、博彩、色情、股票内幕信息和网游外挂。这些网站在通过大量暗链增加权重后，会排在搜索结果的前列。当用户搜索某一特定关键词时，可能被欺骗至这些网站。例如用户通过搜索引擎搜索某个医院或某种疾病的治疗方法时，很可能被引导至一个非法小诊所，从而延误病情，甚至危及生命！

例如近期通过百度搜索“白癜风”，然后依次对前几个搜索结果进行数据中心反查，发现排名第二的“武警北京市总队第二医院”使用了暗链的方式进行推广。

我们对百度“私服”的搜索结果进行反查，发现排名第一的easy-realty.com使用了“暗链”进行推广，共有611个网站存在该暗链。

暗链是对搜索引擎的一种欺骗，导致搜索引擎的误判，将高权重分配给原本没有价值的网站甚至是钓鱼网站。这样极易导致用户对搜索引擎的不信任，甚至因为误导用户造成损失而引起法律纠纷。

暗链的存在往往标志着该网站存在安全漏洞，所以带有暗链的网站往往更容易被黑客入侵。此外，带有暗链的网站提供下载的资源也是不可信的，可能包含木马或后门。

暗链对政府网站来讲危害更大，当用户通过搜索引擎搜索某地政府网站时，可能从搜索引擎的描述中看到一些非法的关键词，从而影响政府的形象。境外敌对势力甚至可以根据政府网站是否存在暗链来判断一个政府网站是否存在安全漏洞，并决定是否发起攻击。成功入侵后，可以发布虚假政策信息造成群众对政府的不信任，制造政府与群众之间的矛盾，引发社会事件。

清除“暗链”，还需标本兼治

暗链大都是网站被入侵之后植入的，所以修补安全漏洞、清除后门是防治暗链的根本。单纯清除暗链代码，黑客仍可以通过漏洞或后门侵入网站，再次植入暗链，甚至履行承诺——删除整个网站。有些小网站慑于黑客的威胁，甚至不敢删除暗链代码。

发现和解决漏洞是困扰站长的两大难题。如何判断网站被黑客入侵并挂了暗链，分析web日志是一个不错的选择，通过检索日志中的特征词，可以快速定位到漏洞位置。但是分析web日志需要有一定的经验，很多web安全厂商提供了免费的网站安全体检服务，如知道创宇的scanv.com，站长根据要求进行注册并完成验证后，可以收到一份网站的漏洞报告及修补意见，对于没有安全防护经验的站长来说，选择网站安全体检服务是个不错的选择。

若一个网站已经被入侵过了，单纯修补安全漏洞是不够的。黑客入侵一个网站之后，往往会留后门，以便下次入侵。后门不仅仅限于web层面，还可能涉及到操作系统层面，例如系统隐藏账户、终端服务开启、远程控制软件等。这就需要我们更加深入地对网站做一个全面检测。