烽火18台之五

欧洲杯在历时1个月后，终在11日落下帷幕。作为第三方球迷，首先恭喜葡萄牙，也祝贺C罗，老天夺走了他的下半场，却还给了这个队长整个葡萄牙的胜利。他下场时的泪水没有白流。法国虽然没能第三次捧杯，但也让我们看到了一支强队在欧洲杯的精彩表现。

当然，我们今天的目的不是要写一篇欧洲杯观后感，而是和大家聊聊伴随着欧洲杯，热度不断升高的“赌球”。按照我国法规，只要没有经过国务院特许，在国内擅自发行、销售的境外彩票，都属于非法彩票。而在欧洲杯期间，许多境外的赌博机构，以及一些国内的不法人员私自搭建网站在国内经营在线赌博。其中很多组织动起了搜索引擎的主意，为了能在搜索结果中排名靠前、吸引更多的人访问、获取更多的利益，其使用了多种手段来躲避审查、提升排名，在正规网站中添加暗链就是一种常见手段。

央广网揭秘赌球黑幕，首先我们先来看看央广网在7月9日发表的一篇报道《揭秘赌球黑幕：境外集团违规推广 政府官网沦陷 搜索引擎被渗透》。

报道中提出了一个现状，有些搜索引擎搜索“赌球”等名词时，在首页就能体现赌博网站，而这些网站却往往披着政府、事业单位的外衣。“通过输入网址进入这些网站都可以正常显示，而使用‘赌球’这一关键词再进入，就成了赌球网站。”

“暗链”黑产浮出水面

如央广网报道中所指出的这种情况，多数属于网站被挂“暗链”的情况。下面我们就来讲讲“暗链”。

什么是“暗链”？

其实“暗链”就是看不见的网站链接，其概念基本等同于“黑链”。其隐藏在正常的网站页面之下，很难被网站管理者或者搜索引擎发现。

下图就是一个被挂了“暗链”的网页源代码，我们可以看到在这个网页下被挂了10多个链接，而其中主要是赌博网站。

“暗链”有什么作用？

说到暗链的作用，就要从搜索引擎说起。人们为了从网络海量的信息中找到自己需要的内容，发明了搜索引擎。搜索引擎通过一定的算法，将有价值的信息进行排序并展现给用户。

搜索引擎在判定一个网站价值时会参考其他网站的超链接。如果一个网站A有指向网站B的超链接，则搜索引擎会认为A的所有者认定B是有价值的，并乐意将自己的权重分给B。通常一个网站能分给另一个网站的权重很低，但是如果有大量的网站都链向该网站的话，积少成多，权重还是很可观的。“暗链”就可以实现大量网站的链接指向同一网站的目的。

这种机制也就给黑产带来了商机。

“暗链”与黑产

对于黑产来说，“暗链”主要通过入侵网站之后植入，其主要目标为缺少安全监测及防护能力，而且可信度较高，分配权重较高的网站。这也就是为什么被植入“暗链”的网站多数为地方政府、教育类网站以及事业单位的原因。而黑产对于“暗链”也有明码标价，下图就是某宝上的价格说明。

但是“暗链”的危害不仅如此，因为网站如果能够被注入”暗链”，往往说明黑客已经通过漏洞入侵了该网站，甚至拿到了一定的权限。利用该权限，黑客可以获取网站的数据，或者植入木马及后门。

烽火台解决“暗链”问题对于“暗链”问题的解决可以分为三个阶段:监控网站发现“暗链”，修补漏洞拒绝入侵，找出后门避免反复。

WebRAY烽火台-网站监控预警平台从风险控制到态势感知，可以帮助用户发现网站web层面、系统层面、数据库、中间件漏洞，提供修补建议；通过网站安全监控，帮助用户较早时间发现“暗链”行为并告警；配合网站后门检测，杜绝黑客通过后门再次入侵，从根本解决“暗链”问题。

在监控平台首页即可查看所监控网站的安全动态，包含各类问题的变化趋势，从而及时进行决策。

通过查看统计分析中的监控站点详情，即可查看每个网站的可用性、篡改、暗链、木马、钓鱼、后门等情况，下图为监控平台所发现的“暗链”网站，通过点击即可查看被挂网站及非法链接。

通过站点漏洞查询界面可以查看网站漏洞，除此之外，WebRAY烽火台还提供对于漏洞更详细的内容，包括漏洞描述、解决方案、测试用例以及提供三种验证手段。

下图为通过烽火台的浏览器验证功能实现的网页测试结果。

讲了这么多关于“暗链”的内容，但其实这只是黑产中很小的一部分。后续我将给大家带来对于Webshell（网站后门）的讲解，面对黑客较为常用的工具，其对应的可能是更大的利益。