点击进入!

为什么出此专题

长久以来，EMLab攻防实验室结合网安协查办案，发现不少政府网站被篡改的案例，相信这一直是大家的痛点。特出此专题，为大家扫盲。废话不多说，直接上硬菜。

故事开始前，先给大家恶补一下什么是菠菜。菠菜，在业内又称为菠菜、bc，你在百度上直接搜菠菜，是搜不出什么结果的，当你百度菠菜网站或者bc网站的时候，就会豁然开朗。

菠菜网站客户来源

1. 联盟挂广告，大家应该都没少见，当你在看小说或媒体信息时，突然一个令你喷血的窗口。。。

2. 和一些站长合作，众所周知黄堵不分家，许多色情网站上都做着菠菜平台的广告，咳咳！本来打算插个图，但是发现即便我全部打码，也实在贴不出来，不要问我车牌号多少，无照驾驶中，，，

3. 电话销售人员、专门打电话和群发短信广告来获取用户。但是这个人力成本、管理成本会比较高。

4. 搜索引擎劫持。搜索引擎劫持是目前黑产最喜欢的一种网页引流方式，此手法往往通过入侵政府、教育机构网站（权重高），修改网站源代码、放寄生虫程序、设置二级目录反向代理等实现。网页劫持可以分为服务端劫持、客户端劫持、百度快照劫持、百度搜索劫持等等；表现形式可以是劫持跳转，也可以是劫持呈现的网页内容，目前被广泛应用于私服、菠菜等暴利行业；

5. 黑吃黑。利用同行网站漏洞，盗取同行网站的用户数据。例如：用户的电话、微信之类的。然后在通过电话或短信或聊天工具把用户挖到自己的平台玩。

菠菜网站的分类

简单来说，菠菜网站分为广告版和流量版两种。

广告版就是大家经常见到的上面全是菠菜图片、链接的广告。就像下图所示，为了避嫌，萌萌的马赛克送上-_-！

当然高级黑帽的引流方式不一样，广告版所需网站大部分为国内gov以及pr高，权重高的大站。gov省级的排名高，权高的在1000左右一天。这是各方面比较高的省级gov。国家级gov一般都在1000往上。

这里只是说的菠菜的一个广告版所需的站点每日价格。至于菠菜自己每日流水主要是看流量吸引来的客户群体。这也就是大家网站老碰到网站篡改被挂马的原因...

流量版就是菠菜站本身。国内菠菜站数不胜数，大多都是小平台，经常被人拿下脱裤子出去卖或是洗钱，再不然就是做到一定程度，拿钱走人，换个域名继续骗钱。

至于大的平台比如九州，澳门什么的属于大平台。金额不定，成本不高。关键在于菠菜自己的广告版和流量，排名等数据。做起来很费钱，但是做好之后利润很高。而且大平台都是有风险管控体系的，想在上面赚大钱是不可能，这辈子都不能赚到钱的，或者当你真的赚到大钱的时候，你会突然发现平台跑路了ヾ(✿ﾟ▽ﾟ)ノ

好了，简单讲解一下菠菜，终于到了本文的精华部分：

搜索引擎劫持

搜索引擎劫持就是当黑客入侵网站后，在网站中加入js或修改全局配置文件，增加相应的劫持代码。并且一般会加入判断条件，会根据user-agent或referer进行判断。大多数判断条件会判断是爬虫还是人工，如果是人工会返回正常的网站；如果是爬虫，会返回相关菠菜、娱乐类等黑客设置好的网站，偶尔也会碰到人工也会跳转的。当然还有个别会判断地点、时间等有针对性的筛选受害人。

搜索引擎劫持主要分为服务端劫持、客户端劫持。其表现形式主要分两种：劫持跳转与劫持呈现的内容。目前被广泛应用于私服、菠菜等暴利行业。

1. 客户端劫持主要利用的就是通过在网页中插入js脚本进行劫持跳转。

2. 服务端劫持主要利用的就是通过在服务器上修改网站动态语言文件,如global.asax、global.asa、conn.asp、conn.php这种全局文件，来实现全局劫持的效果。

搜索引擎劫持内容细分的话又分为劫持快照、关键词、title、网站描述、网站logo、网页内容等。黑灰产主要用来：非法盗取流量及seo（搜索引擎优化）排名

真题讲解

这里给大家举一个真实案例帮助大家深入了解一下搜索引擎劫持。以下案例中体现到的文件名，日期，名称等都是虚拟的。

2018年5月x日，xxxx政府门户网站发现主页被非法篡改，篡改内容为菠菜网站。

接到通知时，访问首页查看源代码，没有发现恶意代码。百度搜索查看快照，发现快照内容正常，不过关键词等信息已被篡改。可见这里对方进行了agent判断。

远程客户的服务器，查看网站代码文件，发现磁盘里有几次备份记录，首页代码文件创建日期为昨天创建，猜测首页代码已经恢复。

查找最近被修改的文件，发现有大量文件在近期都被修改，后来联系客户得知客户发现网站出现异常，当即就用以前的备份将网站代码给覆盖了，此路不通。

发现服务器装有安全狗和免费版G01，当即查看日志，发现隔离区存在不少木马，使用文件编辑器查看木马，发现php一句话木马，php大马，还有部分跳转木马。在其中一个木马中发现一个js外链。

具体代码这里就不列出来了，木马末尾还伪造404，功能比较新颖，根据不同的refer来源，不同的agent，甚至还有ip黑名单，呈现的内容都不一样，有的跳转菠菜站，有得则是菠菜新闻，直接访问该php是404。于是我们直接访问该js

查看代码，大致功能是如果是手机端访问，则跳转到注册页面，如果不是则跳转至另一个菠菜首页。与网安提供的截图一致，至此找到关键性线索。

根据查杀日志，找到此文件的文件名为1.php，查看文件属性，发现文件修改时间为2018年5月x日，查看当时日志，对方修改文件使用的木马文件2.php，为post型大马，由于其采用新型的加密方式，可直接过狗实现上传。

批量查询最近一个月的2.php访问记录，发现上千条记录，将日志导出至Excel，得知服务器早在去年就已被攻陷，中间上上下下，大致有四次被黑产利用，分别被用于彩票，菠菜。其中手段不一，中间还有很多比较有意思的木马，自动组合关键词，文章，随机生成菠菜页面。

根据攻击者的ip变动情况，分析ip发现攻击者使用的是真实宽带，收集部分ip，并取证交给网安。

至此，整篇文章就结束了，主要目的在于给大家扫盲，大神绕过。