在工作中经常发现 维护的网站被挂上不明来源的链接导致通报。我们称之为黑链或暗链。
比如 我收到了一个短信
您的好友给您发了一个名片,请点击链接打开 https://lz.xnq.r.xxxxxx.cn/3rXEdgUcZy,打开后是黑链,这个地址会跳转到不良网站,最匪夷所思的是他是如何写入的。
黑链常见的几种形式
1.恶意提交。网站上有的可以提交数据,被恶意提交了非法链接保存到了网站数据库中,这种最常见
2.恶意抢注。我在提交链接时这个网站是正常网站但是随着时间的推移,这个网站停摆被恶意抢注了。导致存在了暗链,这个比较隐蔽。
3.漏洞利用。我的网站有漏洞被写入了数据,可能是页面篡改,服务器配置跳转链接篡改。模板注入 - 网站模板系统被利用注入恶意内容
4.流量拦截,我的网站使用了不安全的http未加密流量,导致的流量数据被人篡改。
5.DNS投毒。dns在解析我们的网站时被解析到了恶意网站上。
6.js注入。有些浏览器插件会在页面注入恶意js代码导致的暗链。
7. CDN劫持 - 使用的第三方CDN被污染8. 供应链攻击 - 依赖的第三方库被植入恶意代码9. 社会工程 - 内部人员被欺骗添加恶意链接。这种方式曾经也出现过,当我们打开一个网站无法访问后会莫名其妙出现广告页面,说明有运营商内鬼执行了社工工具。或者手机浏览器访问后被莫名其妙自动定位到广告页。10. 缓存投毒 - 代理服务器被污染,比如我的网站接口数据通过第三方转发过,转发的过程可能被篡改。11. 广告网络污染 - 广告联盟投放恶意广告
SEO 投毒
攻击方式: 攻击者利用网站漏洞(如开放目录、文件上传漏洞、评论漏洞)或管理后台弱口令,在网站的特定页面(如存档页、标签页、搜索页、甚至生成大量垃圾内容页面)中注入大量包含特定关键词的垃圾链接,目的是提升恶意网站的搜索引擎排名。
暗链产生: 这些垃圾链接通常隐藏在页面中(如页脚、评论、不显眼的位置),或者指向的页面本身就是大量垃圾链接的集合。它们本身可能不是直接跳转到恶意站点,但属于“暗链”范畴,目的是SEO作弊,并可能被搜索引擎惩罚。
特点: 目的明确(SEO),量大,可能影响网站搜索排名。
弱口令攻击,被入侵的管理员/编辑账号:
攻击方式: 攻击者通过钓鱼、暴力破解、凭证填充等方式,获得了拥有网站内容编辑权限的后台账户(管理员、编辑)的登录凭证。
暗链产生: 攻击者直接登录后台,像合法编辑一样在文章内容、页面模板、小部件、菜单等任何可以编辑的地方添加恶意链接。这种方式添加的链接通常伪装性很强,可能混在正常内容中。
特点: 利用了合法权限,操作直接,可能添加大量或高权限位置的链接。
防护建议:
定期扫描网站内容和外链,扫描的方式有两种,一种是在服务器上指定网站的安装位置主动扫描是否存在,还有一种是指定网站链接被动扫描网站下的所有链接的页面发现暗链。对所有链接进行展示。并提示可能有问题的链接。检测网站是否使用HTTPS加密传输,不是提示用户升级链接实施内容安全策略(CSP)定期更新系统和依赖库监控DNS解析结果使用Web应用防火墙(WAF)