在黑帽 SEO 中，經常會出現的是被黑網站的 <title>標簽被修改為中文關鍵詞，使搜索引擎的檢索結果中明顯可見。但如果使用瀏覽器打開時，則會顯示原始未修改的標題。

黑帽 SEO 經常會推廣中文的賭博、體育彩票類網站，研究人員發現此類攻擊已經產生了巨大的影響。根據 PublicWWW 的數據，失陷的站點數量應該已經超過 5 萬個。近期，攻擊者開始利用世界杯作為話題進行引流。

嵌入世界杯關鍵詞

最近，很多失陷網站都更新了關鍵詞，主要是與 2022 年卡塔爾世界杯的標題。

• 卡塔爾世界杯賽事分析·(中國)世界杯賽事中心
• 2022世界杯買球投注-世界杯安全買球網站【官方平臺】
• 世界杯賽事預測世界杯在線直播世界杯賽時間 – 體育新世界

重定向的站點通常也是世界杯相關主題的，如下所示：

重定向網站

檢查失陷網站的 HTML 源代碼，其中 <title>與 <meta>中有很多關鍵詞：

失陷網站的標題

這些 HTML 實體使用 UTF-8 中的字符代碼表示 Unicode 字符。以 title 標簽為例：

<title>&#19990;&#30028;&#26479;&#22806;&#22260;&#32593;&#31449;&#45;&#105;&#111;&#115;&#47;&#23433;&#21331;&#47;&#25163;&#26426;&#29256;&#97;&#112;&#112;&#19979;&#36733;</title>

解碼后漢字為 <title>世界杯外-圍網站-ios/安卓/手機版app下載</title>。

title 切換

使用瀏覽器打開失陷網站時，就看不到與賭博和世界杯相關的內容。攻擊者使用的 HTML 腳本會檢查訪問者是不是中文搜索引擎爬蟲，即時將 title 修改為原始內容。

目前在失陷網站上部署了兩個主要的變種：

(1) 只匹配百度的爬蟲：

<script>if(navigator.userAgent.toLocaleLowerCase().indexOf("baidu") == -1){document.title ="<real site title>"}</script>

(2) 匹配包括百度在內的其他爬蟲：

<script>if(!navigator.userAgent.match(/baiduspider|sogou|360spider|yisou/i)){document.title ='<real site title>'}</script>

在某些站點上，還發現了其他腳本，這些腳本會控制頁面內除了 title 以外的其他內容切換。

范圍與影響

在撰寫本文時，PublicWWW 在 50172 個網站上發現了第一個腳本，在 14010 個網站上檢測到第二個腳本。

看似已經很多了，但實際上相比前幾年超過十萬的規模已經收縮了不少。而且失陷網站大多數是中文網站，在全球其他地方的曝光度較低。

賭博網站重定向和混淆腳本

攻擊者還使用了幾種不同類型的重定向腳本。最簡單的重定向腳本沒有經過任何混淆，檢查訪問者是否來自搜索引擎，滿足條件的重定向到賭博網站。

沒有混淆的重定向腳本

還有經過混淆的腳本，如下所示。解碼后，可以得到外部鏈接 hxxp://tongji.68010[.]com/4/tzm.js。

使用 HTML 實體進行混淆

還有攻擊者常用的 eval 混淆方式，如下所示。解碼后，可以得到外部鏈接 hxxps://www.makeafortune88[.]com/bb.js。

eval 混淆

外部鏈接

外部鏈接也有多種變種，如：

外部鏈接變種

外部鏈接變種

外部鏈接變種

在滿足特定條件時，將訪問者重定向到賭博網站。也有部分外部鏈接是針對移動設備的：

移動設備重定向

腳本中會預制許多賭博網站，將用戶重定向到其中之一。

多個網站

攻擊者利用百度的自動推送功能，提高攻擊效率。每當訪問者打開失陷網站時。腳本都會向百度發送將 URL 添加到索引中的請求。注：百度站長服務平臺在 2020 年 12 月宣布停用自動推送功能。

搜索引擎誘導