近期，有黑帽 SEO 利用金融行业的网站攻击，攻击者只需要一台Web服务器就可以利用这些网站刷流量，对企业形象和信誉造成了影响。绿盟科技发布《黑帽SEO威胁预警通告》，报告内容提要如下，详见附件下载

近些年，攻击者所采用的的攻击手段中越来越多的运用到SEO搜索引擎优化技术，本事件中是否相关攻击行为，我们会持续关注。

绿盟科技《黑帽SEO威胁预警通告》描述攻击者的手段

近两个月内，绿盟科技应急响应团队陆续接收到来自银监会对各大银行机构的网络安全通报，通报指出CNCERT监测发现互联网存在大批量的疑似 钓鱼网站 ，要求被通报单位进行合理处理，完善自身安全防护措施，保证企业机构的互联网信誉和形象。

攻击者将目标网站的网址写入二级域名，并完全复制目标站点页面用于制造钓鱼网站，同时在网站中嵌入多个第三方域名超链接来提高这些域名在SEO中的PR值（用于搜索引擎排名），即通过刷流量的方法提高网站在搜索引擎中的排名。

在对监测发现的73个疑似的钓鱼网站进行检查，共发现了56个恶意域名（可参考附录安全指标章节），这些域名均采用相同的方式实现对银行的网站复制并嵌入推广链接，在不到一个月的时间内银监会发现并通报了多家银行机构，下图是以alsmr.cn恶意域名为例，复制了绿盟科技官网页面并进行展示，同时嵌入了多个推广链接。

例如：当访问www-***-com.alsmr.cn链接时，黑客服务器会根据里面包含的二级域名将***.com页面展示出来，但同时会在页面头部附加很多链接，这些链接部分源码截图如下：

对收集到的73个网址进行ping测试，发现每个域名所对应的IP都不同，猜测攻击者通过多个IP捆绑域名的方式，来躲避IP封堵。

通过搭建DNSLog平台（一款监控 DNS 解析记录和 HTTP 访问记录的工具）对收集到的73个钓鱼URL进行测试，发现访问这些网站均会向IP 45.34.43.154发送请求，Referer字段中还添加了，从而欺骗监控设备认为该请求来自于百度搜索。由于百度搜索后的URL链接往往带有很多搜索参数，而这里的Referer不包含任何参数，因此可以判断出该字段属于人为伪造。针对IP 45.34.43.154进行查询，发现是位于洛杉矶的境外IP。

结合绿盟威胁情报平台（NTI）对一些域名进行抽样查询，发现该注册人同时注册了大量类似的域名，由此可以猜测攻击者实际发起的攻击可能比所监控到的范围更广。

SEO黑帽攻击指标（IOC）

由于用于刷流量的机器是黑客自己搭建的服务器，所以对于客户无法在短期内进行有效管控，绿盟科技建议相关用户在采用防护建议进行加固的同时，使用附录中提供的IOC数据，对自己系统的网络流量进行实时监控和历史追溯，以尽早消除风险、保护企业的关键业务和重要数据。

C&C 域名：

5aikeji.com

600auto.com

abwavr.info

agdqwz.cc

alsmr.cn

anyuexw.net

babaocha.net

bdzhuoteng.com

blp5.com

blp5.com

bynea.cn

bynea.cn

china-experts.net

cqxinyong.com

csbanzheng.net

dgbsglass.com

eykk.net

getbodyslim.com

hebeichshxs.com

hvej.net

ivxo.net

kaiaoclub.com

kkewyu.info

kvnw.net

kvok.net

lyever.com

mengchuan.cc

mwok.net

nmbgbc.com

ohqv.net

ovtu.net

plgdm.cn

plgdm.cn

psxkdd.info

ptbcwz.cc

qfimhw.info

qianqiu168.com

rrbxhn.cn

sdhzyaxin.com

sdzqf.com

svfo.net

svjx.net

svmq.net

taotrave.com

wjh58.loan

xizhi236.cn

xjyllhj.cc

yinyun236.cn

yufengzhileng.com

zrdbkh.cc

zrdbsp.cc

zsdqwz.cc

zxdbgs.cc

zxdbyl.cc

zxdqwz.cc

zxdzyx.cc

C&C IP

45.34.43.154

绿盟科技《黑帽SEO威胁预警通告》

点击图片下载

Tags：seo(307)钓鱼网站(13)绿盟科技安全威胁通告(1)ioc(1)

转载请标注：我爱技术网_SEO三人行——黑帽SEO利用我国金融机构网站刷取流量 绿盟科技发布预警通告