全球主机交流论坛

标题: 这些搞GWF污染的黑产真牛逼 [打印本页]

作者: txjcv 时间: 2021-6-15 22:34
标题: 这些搞GWF污染的黑产真牛逼
本帖最后由 txjcv 于 2021-6-15 22:37 编辑

https://hostloc.onozo.cc/thread-856420-1-1.html
上次不是发了一个帖子说有一个域名被污染了码？
今日我在谷歌site网站发现收了一些这种页面，但是那些页面是打不开的，在我网站上也不是真实存在，我可以确定我的服务器没有被入侵，这些页面好像看起来是刷出来的。这些搞墙污染的黑产真牛逼。

作者: akatom 时间: 2021-6-15 22:37
哈哈哈 hacker 牛

作者: iks 时间: 2021-6-15 22:37
这个可以跟 Google 反映

作者: txjcv 时间: 2021-6-15 22:39

akatom 发表于 2021-6-15 22:37
哈哈哈 hacker 牛

本来这个网站在百度都是0收录，在谷歌就收录几页。
但是之前一直在loc上挂签名的，后来我在loc上看到有人花钱招这种技术人才。
我猜，我的这个域名被人家拿来练手了。触及不到什么利益。

作者: txjcv 时间: 2021-6-15 22:41

iks 发表于 2021-6-15 22:37
这个可以跟 Google 反映

跟谷歌反应已经没用了，域名被DNS污染了。
https://www.boce.com/pollute/ddpan.com/864baedeb0702d5584a58199a3f1487c.html

作者: hostloc8888 时间: 2021-6-15 22:43
这技术也太牛了吧，google都能收录

作者: iks 时间: 2021-6-15 22:44

txjcv 发表于 2021-6-15 22:41
跟谷歌反应已经没用了，域名被DNS污染了。
https://www.boce.com/pollute/ddpan.com/864baedeb0702d5584a ...

跟他们反映这类问题

作者: 专业黑人抬棺 时间: 2021-6-15 22:44
这关键词，污染了就不可能恢复了，其实勒索就是骗钱

作者: 天权璇玑 时间: 2021-6-15 22:45
网站本身被挂马了加了轮子内容，然后在谷歌里刷搜索结果？

作者: h20 时间: 2021-6-15 22:45
提示: 作者被禁止或删除内容自动屏蔽

作者: micms 时间: 2021-6-15 22:49
前两天找了下那些蜘蛛池看到他们的业务是真的广泛想要啥排名都给你安排网站做啥都安排

作者: txjcv 时间: 2021-6-15 22:58

h20 发表于 2021-6-15 22:45
看快照呗　

快照内容就是跟我服务器上网站内容毫无效果，好像就是copy了一些那种非法网站页面。
但是怎么让你的域名DNS污染，手段我大概想通步骤是什么样的？
比如在海外IP的机器上搭建一个网站，页面内容都是非法敏感的，然后主机头就绑定域名是他人的域名。
然后在内地弄一堆蜘蛛池IP，本地帮/etc/hosts强制IP解析。然后一直刷页面。这样高墙没过多久就会判断这个域名是非法网站，然后把域名给污染。但是他这个过程怎么做到Google过一阵子会收录这种页面？

作者: txjcv 时间: 2021-6-15 22:59

天权璇玑发表于 2021-6-15 22:45
网站本身被挂马了加了轮子内容，然后在谷歌里刷搜索结果？

网站没有挂马啊。

作者: rogerskys 时间: 2021-6-15 23:01

micms 发表于 2021-6-15 22:49
前两天找了下那些蜘蛛池看到他们的业务是真的广泛想要啥排名都给你安排网站做啥都安排 ...

能安排一下https://bjca.miit.gov.cn/吗？我看这个网站非常不顺眼

作者: micms 时间: 2021-6-15 23:04

rogerskys 发表于 2021-6-15 23:01
能安排一下https://bjca.miit.gov.cn/吗？我看这个网站非常不顺眼

FBI open the door！

作者: txjcv 时间: 2021-6-15 23:05
本帖最后由 txjcv 于 2021-6-15 23:06 编辑

rogerskys 发表于 2021-6-15 23:01
能安排一下https://bjca.miit.gov.cn/吗？我看这个网站非常不顺眼

*.*.*.*.*.gov.cn此类的域名永远列入高墙白名单。
怎么安排都无法

作者: rogerskys 时间: 2021-6-15 23:09

txjcv 发表于 2021-6-15 23:05
*.*.*.*.*.gov.cn此类的域名永远列入高墙白名单。
怎么安排都无法

我的站已经北岸了，是不是也进不了高墙了

作者: txjcv 时间: 2021-6-15 23:13

专业黑人抬棺发表于 2021-6-15 22:44
这关键词，污染了就不可能恢复了，其实勒索就是骗钱

如果GWF是被人漏洞利用了还好说，如果是你网站被监控人员核查到的，手动加入了污染规则，那规则可能估计就是永久规则。如果是利用漏洞的被污染，可能是一个临时规则。
管理这一个的，估计每个月都要导出域名名单，上报报表。
有些被漏洞利用误杀的，会过一段时间释放出来的。但是不知道要过多久。
要不然这样的话，那掌握漏洞的人想搞谁就搞谁，比如域名交易所去看中哪个域名在高价销售，先把你域名污染了，然后再找你谈买域名。你域名污染就掉价了。还有做seo的竞争对手找这些人，黑人家排名。

作者: txjcv 时间: 2021-6-15 23:15

rogerskys 发表于 2021-6-15 23:09
我的站已经北岸了，是不是也进不了高墙了

那些专门搞这种的团队，如果要搞你，或者接到任务单。要搞你，还是可以把你域名搞污染。污染了，域名在大陆基本就废了。
估计现在高墙都是靠AI人工技术检测+干扰，以前估计主要靠人工举报，人工核实你是不是正经网站。

作者: justfkqq 时间: 2021-6-15 23:19

txjcv 发表于 2021-6-15 22:58
快照内容就是跟我服务器上网站内容毫无效果，好像就是copy了一些那种非法网站页面。
但是怎么让你的域名D ...

签名骗点击这招用得真精髓呀

作者: 16qf 时间: 2021-6-15 23:23
真的这么牛皮吗，吓得我都不敢挂签名了

作者: ouou8 时间: 2021-6-15 23:44

txjcv 发表于 2021-6-15 22:58
快照内容就是跟我服务器上网站内容毫无效果，好像就是copy了一些那种非法网站页面。
但是怎么让你的域名D ...

这种本地host ip 域名来访问刷新

这肯定是行不通吧。

如果行得通，那何必拿你这个没有什么收录的也没有什么排名的网站来试验呢？

如果行得通的话，随便拿一个根本就没有做站的，甚至不存在的域名域名这样搞，那一样能被污染。

问题出在谷歌能收录页面上。为什么收录，肯定是谷歌蜘蛛能爬行得到这域名的页面，他们总不会有那么大的能耐能黑进谷歌，让谷歌直接收录这种不存在的页面。

那就厉害了啊。
还是想不通，如果你网站这些页面真的不曾存在过的话。

不过你这么一说，我怀疑是dns 有漏洞能被利用。为什么这么说？

我说一下我经历过的，我的一个域名，用的是360的dns加一个其他dns 忘记名字了，好像是百度的dns

不过几年来就是使用这些dns而已，但是，却没有做过站，也没有绑定过任何ip，所以以前是一直无法打开的状态。然后这段时间做站了，谷歌site这个这个域名，惊奇的发现，好多二级域名都被谷歌收录了，而且是英文内容的页面。

不过还好，是英文页面，貌似没有什么危害的内容。没有被强或者污染。

你可以参考一下这个信息，看看是不是出在dns上，要不就是你站可能被黑而你不知道。

作者: 爱消失 时间: 2021-6-15 23:47
最奇怪的是Google为什么能收录不存在的页面？

作者: xfangbao 时间: 2021-6-15 23:49
那么洗白产业更牛逼

作者: 88170351 时间: 2021-6-16 07:02

txjcv 发表于 2021-6-15 22:58
快照内容就是跟我服务器上网站内容毫无效果，好像就是copy了一些那种非法网站页面。
但是怎么让你的域名D ...

因为在国外也要对刷，访问多了，谷歌的蜘蛛就来爬了

作者: txjcv 时间: 2021-6-16 18:57

ouou8 发表于 2021-6-15 23:44
这种本地host ip 域名来访问刷新

这肯定是行不通吧。

是的因为他那些非法的链接页面内容，在我网站根本不存在，而且我的服务器也没有被黑的迹象。
就算网站代码有漏洞。我的网站是HTTPS内容加密，HTTP强制跳转HTTPS ，内容过强是看不到具体内容的把，除非是DNS劫持，或者有漏洞被人家重新弄了一个网站。卡墙BUG

作者: txjcv 时间: 2021-6-16 18:58

88170351 发表于 2021-6-16 07:02
因为在国外也要对刷，访问多了，谷歌的蜘蛛就来爬了

哦原来是这样啊

作者: 寒夜方舟 时间: 2021-6-16 19:11

txjcv 发表于 2021-6-16 18:57
是的因为他那些非法的链接页面内容，在我网站根本不存在，而且我的服务器也没有被黑的迹象。
就算网站代 ...

你是用的哪家dns解析服务?

作者: 寒夜方舟 时间: 2021-6-16 19:12

txjcv 发表于 2021-6-16 18:57
是的因为他那些非法的链接页面内容，在我网站根本不存在，而且我的服务器也没有被黑的迹象。
就算网站代 ...

或者网站是不是用的宝塔等面板，泄露了证书文件。

作者: txjcv 时间: 2021-6-16 19:19

寒夜方舟发表于 2021-6-16 19:12
或者网站是不是用的宝塔等面板，泄露了证书文件。

没用面板的，是军哥lnmp。

作者: txjcv 时间: 2021-6-16 19:21

寒夜方舟发表于 2021-6-16 19:11
你是用的哪家dns解析服务?

用的是CF的dns

作者: xsidesign 时间: 2021-6-16 19:25
LZ可以先北岸后跟管局申诉，这种只要管局下文件了也可以解封的

作者: fhsa 时间: 2021-6-16 19:43
难不成他们能把谷歌爬虫的hosts改了或者把谷歌的dns劫持了，有点哈人

作者: 尖沙咀朱永勃 时间: 2021-6-16 19:47
。。。。Google 又不是实时的你能看到的可能是Google爬虫缓存了好几天了的现在打不开正常

作者: ouou8 时间: 2021-6-16 19:58

88170351 发表于 2021-6-16 07:02
因为在国外也要对刷，访问多了，谷歌的蜘蛛就来爬了

就算国外也要对刷，但真实网络不存在的，谷歌蜘蛛怎么爬得如来，大佬指点一下。
总得给蜘蛛一个入口啊。

作者: gyjys43043 时间: 2021-6-16 20:16
本帖最后由 gyjys43043 于 2021-6-16 20:19 编辑

google搜索下了，好多网站都中招，而且都是同样的现象，以下是搜索关键字：

关键字被和谐了，上个图

这些链接都有个特点，全是http而不是https

作者: 574722031 时间: 2021-6-16 20:24
看谷歌快照是从http
://www.ddpan.com/x/x.html重定向到非法网站http://www.xxx.com/x/x.html抓取的.

作者: 574722031 时间: 2021-6-16 20:29

gyjys43043 发表于 2021-6-16 20:16
google搜索下了，好多网站都中招，而且都是同样的现象，以下是搜索关键字：

关键字被和谐了，上个图

https://www.binancezh.cc › showprogram
币安也被勒索了

作者: 574722031 时间: 2021-6-16 20:36

txjcv 发表于 2021-6-16 19:21
用的是CF的dns

有开启cf的CDN吗

作者: xjjmjj 时间: 2021-6-16 20:38
行行出状元

作者: option 时间: 2021-6-16 20:41
本帖最后由 option 于 2021-6-16 20:42 编辑

可以直接在广域网路由之间劫持http 301 跳转的地址! 应该是跟以前电信插广告一样的，可能就是那批人做的

更简单的是，在IP所在的机房，然后跟他们谈，在入口处给你劫持了。

作者: xjlxjl 时间: 2021-6-16 20:41
真牛逼呀

作者: gger 时间: 2021-6-16 21:30
还确实是牛叉技术

作者: lrzd 时间: 2021-6-16 22:24
了解一下iis劫持，只有蜘蛛能访问页面。

作者: gbadge 时间: 2021-6-16 22:30
求安排脚本之家

作者: 88170351 时间: 2021-6-16 23:19

ouou8 发表于 2021-6-16 19:58
就算国外也要对刷，但真实网络不存在的，谷歌蜘蛛怎么爬得如来，大佬指点一下。
总得给蜘蛛一个入口啊。 ...

有一个词叫劫持

作者: z13579 时间: 2021-6-16 23:44
有没有可能是控制了某个js文件呢，比如很多cms引用了jQuery的库，这个库又是在线的，如果控制这个在线库的话，想给你展示什么内容就展示什么内容。

作者: gyjys43043 时间: 2021-6-17 05:43

option 发表于 2021-6-16 20:41
可以直接在广域网路由之间劫持http 301 跳转的地址! 应该是跟以前电信插广告一样的，可能就是那批人做的
...

这种攻击有什么好的解决办法吗？

作者: option 时间: 2021-6-17 10:00

gyjys43043 发表于 2021-6-17 05:43
这种攻击有什么好的解决办法吗？

不用跳转，不过他们可以自建跳转，可爬虫站申请只进行https请求，浏览器我记得好像有个hsts之类的名单，直接请求是https，现在听转主流浏览器都要直接发https请求先了，爬虫那些就不知道了

作者: txjcv 时间: 2021-6-17 11:06

z13579 发表于 2021-6-16 23:44
有没有可能是控制了某个js文件呢，比如很多cms引用了jQuery的库，这个库又是在线的，如果控制这个在线库的 ...

我看了代码用的是cdn.staticfile.org这个库

作者: dallaslu 时间: 2021-6-17 11:51

gyjys43043 发表于 2021-6-17 05:43
这种攻击有什么好的解决办法吗？

申请 hstspreload.org。既然用了 CF，顺便做个 DNSSEC 吧

作者: feixiang 时间: 2021-6-19 09:56

dallaslu 发表于 2021-6-17 11:51
申请 hstspreload.org。既然用了 CF，顺便做个 DNSSEC 吧

现在CN域名都可以DNSSEC了，我腾讯云的域名套了CF都可以弄上。

欢迎光临全球主机交流论坛 (https://hostloc.onozo.cc/)