近日,据一位不愿意透露姓名的网友反馈,在google搜索”office 2007 error1704”,访问部分搜索结果后会出现色情内容网页。例如搜索结果的第二个链接(www.daoniang.com/Office2007/20111209/797.html),看似很正常,但在访问后,google当前页面会被转至一个带有百度图标的色情网站(http://baidu.9486.com/wb008/hao.htm),该网站很黄很暴力,如下:
而新打开的链接标签页面竟然会跳转至如下另一个软件下载页面(http://www.9486.com/soft/3266.html):
据趋势科技资深工程师分析发现,此网站IP下许多网站都有此问题,推断应该是网站作者故意为之。根据进一步深入分析后发现,该网站中有一段脚本利用HTTP请求头中的Referrer信息,判断是否跳转至另一页面,进行搜索引擎结果的劫持操作。
该脚本在网站每一个页面均存在以下脚本:
<script language="javascript"type="text/javascript"src="/blogad62.js"></script>
此blogad62.js向/blogad62.php页面发送post请求,以document.referrer为参数。根据响应修改页面:
如果referrer参数说明访问此网站的源网站为其他网站(例如google)则访问/blogad62.php的响应中会存在如下js:
| <script type='text/javascript'> try{ if(parent&&parent.window&&parent.window.opener&&parent.window.opener.location){ parent.window.opener.location='http://baidu.9486.com/so.php?wd=office2007 error1704'; } }catch(e){ window.open('http://baidu.9486.com/so.php?wd=office2007 error1704','_blank'); } location.href='http://www.9486.com/soft/3266.html'; </script> |
该脚本会使原来的页面(此例中为google)URL跳转至黄色网站http://baidu.9486.com/wb008/hao.htm,或者直接弹出黄色网站页面,而本身的页面跳转到软件下载页面http://www.9486.com/soft/3266.html
如果直接访问www.daoniang.com/Office2007/20111209/797.html则不会有上述的效果。
该案例展示了一种通过劫持搜索引擎实现恶意目的的方法,作者可以利用此方法绕过网站信誉系统或者爬虫的检测来投放广告,甚至挂马,窃取用户资料信息。
网络安全无处不在,在遨游网络的时候,建议大家使用趋势科技产品来保护自身电脑安全,如对网站有疑问,可以使用http://global.sitesafety.trendmicro.com/来检测网站安全性,同时趋势科技产品也已经屏蔽这些网站。
重现流程
1.通过google搜索页面点击链接 :
弹出
2.通过网址访问,为正常页面(但该网页怀疑为专门为搜索而构造的):
www.diezhun.com/wps_office/201112/33.html
此外,趋势科技目前发现以下网站也有相同的恶意行为:
 |  | |
 |  |   |
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
