近日，我在土耳其搜索关键词“canlıgörüntülüsohbet”时，Google搜索结果首页展示了许多来自相同网站logo但域名不同的网站。点击这些链接后，会被强制重定向和多重跳转。

例如，点击https://zelimpex.sk/y6dt7会跳转至https://raffc.org/，然后再跳转至https://7slotswin.pro/。这显然是不正常的搜索结果。

实际上，这样的情况并不罕见。

今年3月份，我所运营的网站即出现类似的情况——操作者利用我们的品牌名称（知名品牌，搜索量大），将品牌名注入它所劫持的网站（主要是教育机构和政府网站）。当用户搜索我们的品牌名称时，这些被劫持的网站获得了排名，用户点击后被强制跳转至目标非法网站。在这个事件中，品牌方虽然网站没有事，但名誉受损，也需要积极处理；遭劫持的网站则实际受损。

从我知道的一些黑帽SEO手段来说，我认为这是网站劫持（Website Hijacking）。基于这些情况，我觉得我还是很有必要了解一下此类的黑帽SEO手段，以在必要的时候快速识别并采取防范措施。

本文将从我这个非技术专业人员的视角做一些分析。也欢迎技术大佬前来赐教图片。

什么是黑帽SEO和网站劫持？

黑帽SEO是一些通过不道德甚至非法手段提升网站在搜索引擎排名的方法。网站劫持（Website Hijacking）是其中一种手段，攻击者通过入侵合法网站，创建包含目标关键字的页面，并重定向到黑帽SEO操作者的站点。

网站劫持的常见方法

网站劫持通过以下几种常见方法实现：

(1)服务器漏洞利用

过时的软件：利用网站服务器上过时的软件或插件中的已知漏洞。

不安全的配置：利用服务器配置中的漏洞，如默认密码、不安全的端口开放等。

(2)注入攻击

SQL注入：通过在用户输入中嵌入恶意的SQL语句，获取数据库访问权限。

跨站脚本（XSS）：在网站页面中插入恶意脚本，使其他用户在访问时执行这些脚本。

跨站请求伪造（CSRF）：诱骗已认证用户在无意中执行攻击者希望的操作。

(3)钓鱼攻击

社交工程：诱使网站管理员泄露登录凭证。

假冒电子邮件：发送伪装成合法通知的电子邮件，引诱管理员点击恶意链接并输入登录信息。

(4)后门程序

木马：在目标服务器上植入后门程序，攻击者可以通过该后门获得对服务器的控制权。

恶意插件或主题：通过安装恶意插件或主题获取网站控制权。

(5)DNS劫持

DNS服务器入侵：攻击者侵入网站使用的DNS服务器，篡改DNS记录，将访问者重定向到恶意网站。

中间人攻击：拦截并篡改访问者和网站之间的通信，劫持流量。

例如，假设一个网站因插件漏洞被入侵，攻击者通过该漏洞在服务器上上传了一个web shell。这使得攻击者能够远程执行命令并访问服务器上的所有文件。随后，攻击者在网站首页植入了一个JavaScript脚本，用户访问时会自动重定向到另一个恶意网站。

网站劫持的典型案例

案例1：Gumblar攻击

Gumblar是一种大规模的网络攻击，始于2009年。攻击者通过FTP凭证窃取，入侵了成千上万的网站，并在这些网站上植入恶意代码。

攻击者首先通过获取FTP登录凭证，入侵大量合法网站。随后，他们在受害网站的页面中插入恶意JavaScript代码，这些代码会重定向访问者到恶意网站。

通过大量受感染网站的外链和流量，攻击者的恶意网站在搜索引擎排名中迅速上升。受感染的网站不仅影响了其自身的访问者，还间接地帮助了攻击者提升其恶意网站的SEO排名。

案例2：Pharma Hack

Pharma Hack是一种针对WordPress网站的攻击，攻击者利用插件或主题中的漏洞入侵网站。

攻击者利用WordPress插件或主题的漏洞获取网站访问权限，然后在受害网站上添加隐藏的网页，这些网页包含与药品相关的内容和关键词。

这些隐藏页面链接到攻击者的在线药店，从而提升其在搜索引擎中的排名。结果，受感染网站在搜索引擎中展示不相关的药品内容，影响其品牌声誉，同时提升了攻击者网站的排名。

案例3：Japanese Keyword Hack

日本关键词黑客攻击（Japanese Keyword Hack）是黑帽SEO攻击，攻击者通过在受害网站上创建包含日语关键词的页面来提升其在日本搜索引擎中的排名。

攻击者通过已知漏洞或弱密码入侵网站，在受害网站上创建大量日语关键词页面，这些页面通常不会显示给普通访问者。这些隐藏页面包含指向攻击者控制的网站的链接，帮助提升其在日本搜索引擎中的排名。

结果，受害网站的搜索引擎排名和声誉受损，同时攻击者的目标网站在日本搜索引擎中的排名显著提升。

案例4：Fake jQuery Scripts

攻击者通过在网站上植入伪装成jQuery脚本的恶意代码，操控搜索引擎排名。攻击者通过FTP或CMS漏洞入侵网站，在网站中嵌入伪装成jQuery的恶意JavaScript脚本，这些脚本会加载其他恶意代码或重定向访问者。

利用受感染网站的权威性和流量，通过链接和重定向提升攻击者网站的排名。结果，受感染网站的流量被重定向，SEO排名和用户体验受到严重影响。

黑帽SEO操作者偏好的目标劫持网站

从SEO角度来看，操作者喜欢劫持特定类型的网站以实现其不良目的。这些网站通常具有一些共同特征，使它们成为理想的目标。以下是一些操作者偏好的网站类型及其原因：

1.高权重网站

原因：高权重网站在搜索引擎中排名较高，可信度高，劫持这些网站可以显著提升目标网站的SEO效果。

特征：高流量、丰富的内容、较长的历史、良好的外链配置。

2.教育和非营利组织网站

原因：这些网站通常权重高且信誉良好，但安全投资有限，易被攻击，如大学网站、政府网站、非盈利组织等。

特征：良好的域名历史、丰富的教育或公益内容、使用开源CMS（如WordPress、Joomla）。

3.小型企业网站

原因：小型企业通常缺乏网络安全意识和资源，防护措施较弱，易被攻击。

特征：简单的技术架构、缺乏专门的IT安全人员、使用共享主机服务。

4.未更新的网站

原因：长期未更新的网站通常安全措施较差，漏洞未及时修补，容易被入侵。

特征：过时的软件、插件、主题；较少的维护和监控。

5.内容丰富的网站（博客、新闻网站）

原因：内容丰富的网站拥有大量页面和关键词，劫持后可以带来大量的SEO利益。

特征：频繁更新的内容、多样的主题、较高的用户参与度。

6.过时的开源CMS网站

原因：开源CMS（如WordPress、Drupal）易于发现和利用已知漏洞，许多用户未及时更新。

特征：使用广泛、插件和主题众多、社区支持但维护不及时。

网站劫持如何实现快速排名？

一般情况下，劫持操作者会直接将劫持的网站直接跳转至目标网站。这种方法很好理解：在劫持的高权重的网站注入一些关键词或内容，有利于快速获得排名与流量，然后将这些流量引至目标网站。我开头举的品牌名称的例子就是这样。

但在我上面的土耳其的例子中，操作者设置了多重跳转：https://zelimpex.sk/y6dt7》https://raffc.org/》https://7slotswin.pro/。在搜索结果中获得排名的是无权威、无外链的网站。这是如何实现的？

以下是我的一些非专业猜想：

（1）模拟点击：攻击者可能通过自动化点击程序或点击农场操控初始网站的点击率和流量，使搜索引擎认为该网站受欢迎，从而提升排名。

（2）临时跳转：攻击者可能使用临时跳转技术，将初始网站的流量临时引导到高权重站点，积累一定的流量和用户行为数据后，再切换回初始网站。这种操作使得初始网站能够借用高权重站点的权重和流量，短时间内获得排名。

网站劫持者为什么要设置多重跳转？

1.避免直接关联

隐藏最终目标：通过多重跳转，操作者可以隐藏最终目标网站的真实位置，增加搜索引擎和受害网站的追踪的难度。

分散风险：直接劫持高权重网站可能会导致快速被发现和封锁，通过多次跳转，分散了被检测和封锁的风险。

2.流量稀释和掩盖

流量稀释：操作者可能希望通过多次跳转来稀释和掩盖恶意流量的来源，从而避免触发安全系统的警报。

流量混淆：这种方式可以使流量的来源更加混淆，增加分析和识别的难度。

3.规避搜索引擎处罚

降低风险：直接从低权重站点跳转到高权重站点，再跳转到目标站点，可以规避搜索引擎对直接跳转和链轮的检测和处罚。

多重验证：通过多重跳转，操作者可以利用不同网站的权重和信誉，逐步提高目标网站的排名，而不直接暴露目标网站的恶意行为。

如何防范黑客攻击与网站劫持？

（1）保持软件更新：及时更新CMS、插件和主题，修补已知漏洞。

（2）强密码策略：使用复杂密码，并定期更换。

（3）安全插件：安装并配置安全插件，防止常见攻击。

（4）定期监控：定期检查网站文件和数据库，发现并删除可疑内容。同时使用网络安全工具监控流量，识别异常跳转行为。

（5）备份和恢复：定期备份网站数据，以便在攻击后能够迅速恢复。

结语

黑帽SEO通过各种手段劫持网站，以提升目标网站的搜索引擎排名。了解这些手段和案例，有助于我们采取有效的防范措施，保护自己的网站免受黑帽SEO的侵害。

保持软件更新、使用强密码策略、安装安全插件、定期监控和备份网站数据，是防范网站劫持的有效方法。

最后，我猜测此类黑帽SEO的成本应该也非常高，因为我基本只看见一些非法的不便于推广的网站使用，例如adult、gamebling、drug等。如果成本不高，就不会仅经常在特殊行业出现了。