5月24日，SCANV網(wǎng)站安全中心研究人員發(fā)現(xiàn)了一起黑帽SEO事件，與以往不同的是，這次攻擊者并沒(méi)有通過(guò)傳統(tǒng)的篡改網(wǎng)站頁(yè)面來(lái)達(dá)到目的，而是采用了"域名劫持"這一陰狠的曲線攻擊方式。

通過(guò)百度搜索"戲王博彩現(xiàn)金開(kāi)戶"，會(huì)發(fā)現(xiàn)大量.gov.cn結(jié)尾的政府站點(diǎn)域名都出現(xiàn)了博彩網(wǎng)站的廣告。

而直接通過(guò)瀏覽器輸入域名，則會(huì)跳轉(zhuǎn)到hxxp：//180.168.41.175/的這個(gè)IP，訪問(wèn)之后瀏覽器返回如下頁(yè)面，并沒(méi)有出現(xiàn)博彩網(wǎng)站的內(nèi)容。

通過(guò)查看HTML源代碼，發(fā)現(xiàn)了問(wèn)題所在，原來(lái)這個(gè)網(wǎng)站的內(nèi)容只是一個(gè)框架。

其中的js代碼會(huì)判斷來(lái)路，并做相應(yīng)的跳轉(zhuǎn)。如果用戶直接輸入網(wǎng)址，則轉(zhuǎn)到上述的114導(dǎo)航頁(yè)；如果用戶通過(guò)百度訪問(wèn)網(wǎng)址，則跳轉(zhuǎn)到hxxp：//www.30880.com/#z7team這個(gè)博彩網(wǎng)站，且域名后面有一個(gè)z7team，普遍域名后面加上這類內(nèi)容通常是廣告的一種手法，用來(lái)統(tǒng)計(jì)相應(yīng)的來(lái)路信息。

繼續(xù)分析，一個(gè)正常的政府網(wǎng)站是不會(huì)有那些奇葩的域名的，嘗試一些*.demo.gov.cn，都會(huì)被解析，那么可以得出，這些域名肯定使用了泛解析。

根據(jù)SCANV網(wǎng)站安全中心研究人員的推斷：假設(shè)是政府網(wǎng)站服務(wù)器被黑，攻擊者可以利用的只有服務(wù)器權(quán)限，而沒(méi)有域名權(quán)限，也就是說(shuō)攻擊者只能更改www.demo.gov.cn這個(gè)域的內(nèi)容，而從這次的大規(guī)模劫持特征來(lái)看，攻擊者可能是獲得了受害站點(diǎn)的域名管理信息。

接著whois查詢相關(guān)信息。發(fā)現(xiàn)大部分的受害站點(diǎn)是在"廣東時(shí)代互聯(lián)科技有限公司"注冊(cè)的，小部分是在新網(wǎng)注冊(cè)的。

而兩家企業(yè)的數(shù)據(jù)庫(kù)都有遭駭客攻擊的經(jīng)歷，所以很可能是由于被脫庫(kù)導(dǎo)致的用戶信息泄漏。然后攻擊者通過(guò)泄漏的數(shù)據(jù)庫(kù)登錄修改DNS指向，添加泛解析，導(dǎo)致網(wǎng)站出現(xiàn)其他的域名被指向了同一個(gè)黑頁(yè)服務(wù)器。

SCANV網(wǎng)站安全中心在此提醒廣大站長(zhǎng)，請(qǐng)定期修改自己域名的管理密碼，并做相應(yīng)的檢查。