《揭秘发布站劫持插件：网络安全的隐形威胁》(图文)

发布站劫持插件，如同网络世界中的 “幽灵”，在用户毫无察觉的情况下悄然改变着网络访问的路径和内容。它具有多种功能，常常让人防不胜防。
其中，域名劫持是较为常见的一种类型。通过修改客户的 DNS 主服务器 IP 和备用服务器 IP，达到劫持的效果。比如，劫持了某个网站后，当用户访问该网站时，域名可能不变，但内容却被替换成了劫持者指定的内容。就像原本要去一个熟悉的商店，却被带到了另一个完全不同的地方，而商店的招牌却还是原来的样子。
关键词劫持也不容小觑。这种劫持方式通过 IE 浏览器取网页标题，一旦判断出特定的关键词，就会执行跳转。例如，当用户在搜索特定关键词后打开网页，可能会被引导至其他完全不相关的网站，极大地影响了用户的上网体验。
此外，还有混合型劫持，它结合了关键词劫持和域名劫持的特点，功能强大无比。一旦被混合型劫持，别人的插件或者第三方软件很难进行修改，手动删除也极为困难。这种劫持方式就像一个难以解开的复杂谜题，给网站的安全带来了巨大的挑战。
总之，发布站劫持插件的存在，严重威胁着网络的安全和稳定，让用户在上网过程中时刻面临着风险。

二、劫持手段大揭秘

（一）流量劫持

1. 整站跳转：这类劫持比较直接，劫持者通常在页面内载入 js 或者在 web 服务器内植入代码来实现全局劫持。一般只劫持从搜索引擎来路的流量，防止站长察觉后马上修复。其危害在于用户原本的搜索结果被篡改，可能导致用户无法获取到真正需要的信息，同时也影响了被劫持网站的流量和声誉。

2. 关键词跳转：这种劫持方式较为隐蔽，只会针对一部分关键单独跳转。需要站点定期检查，否则很难及时发现。它可能会误导用户进入不相关的网站，甚至可能导致用户遭受诈骗等风险。

3. 框架劫持：在网站加载时在源码内增加 js，隐藏原有页面主体，显示一些不为人知的广告或页面内容。大部分同样限制来源为搜索引擎才触发。这不仅影响用户体验，还可能导致网站的广告收入被劫持者窃取。

（二）权重劫持

1. 蜘蛛劫持：与快照劫持理论上相同，但目的不同。通过加载一些链接，让蜘蛛更多地发现劫持者需要抓取的页面。这会导致被劫持网站的权重被分流，影响网站在搜索引擎中的排名。

2. 301 权重转移：劫持者获取 shell 后直接进行 301 权重转移，一般会通过站长平台进行改版。这种方式较为隐蔽，一般用户访问是正常的，只有搜索引擎过来抓取的时候才会给 301 状态。被劫持网站的权重会逐渐转移到劫持者的网站上，严重影响被劫持网站的发展。

3. 黑链：在站点内挂上一批黑链，可见不可见的都有。虽然目前这么干的人越来越少了，但仍有一定的风险。黑链可能会导致网站被搜索引擎降权，甚至被列入黑名单。

（三）广告劫持

广告劫持的目的比较简单，把站点的广告联盟或站点原本广告展现方案进行替换，达到用你的流量赚他的钱的目的。主要劫持者为运营商和入侵者。这种劫持方式会直接影响网站的广告收入，同时也会给用户带来不良的广告体验。

（四）其他劫持方式

1. 浏览器劫持：基本上在用户的电脑上安装一些非法插件进行劫持流量、展现广告。用户可能会在不知情的情况下被引导至其他网站，或者看到大量的广告弹窗，严重影响用户体验。

2. 路由劫持：主要流向在商场等地方，用户接入免费网络后进行劫持。对于路由劫持，做好 https 能够防御一大部分。路由劫持可能会导致用户的个人信息被窃取，或者被引导至恶意网站。

3. 镜像劫持：劫持者利用优质的域名和优质的前置资源直接镜像目标站点，让搜索引擎难以区分谁真谁假。大部分情况下劫持者获利，目标站点淘汰。这种劫持方式不仅会影响被劫持网站的流量和声誉，还可能导致用户无法获取到真正的网站内容。

三、插件危害知多少

发布站劫持插件带来的危害不可小觑，无论是对网站还是用户都有着严重的影响。
对于网站而言，首先面临的是流量损失。当插件进行劫持后，用户可能会被引导至其他网站，导致原本属于该网站的流量被分流。据统计，一些被严重劫持的网站流量损失甚至可达 50% 以上。流量的减少不仅影响网站的广告收入，还会降低网站在搜索引擎中的排名，使得网站的曝光度大大降低。
其次，网站的名誉也会下降。频繁的劫持会让用户对网站的安全性产生怀疑，不再信任该网站。例如，当用户在访问网站时突然被跳转到一些恶意网站或出现大量广告弹窗，会认为是网站本身存在问题，从而对网站产生厌烦情绪。这种负面的用户体验会通过口碑传播，进一步影响网站的声誉。
此外，被劫持的网站还可能面临被搜索引擎降权的风险。像通过泛解析生成大量子域名全部指向其它地址，或者域名被解析到非法网站等情况，都会直接造成网站被百度等搜索引擎 “降权”。这意味着网站在搜索结果中的排名会大幅下降，难以被用户发现，对网站的发展造成极大的阻碍。
对于用户来说，发布站劫持插件也带来了诸多危害。一方面，用户的上网体验被严重破坏。在浏览网页时，经常会无征兆地跳转到陌生网页，如直播、游戏、广告等页面，让人不胜其烦。这些意外的跳转不仅浪费用户的时间，还可能影响用户的工作和学习效率。
另一方面，用户的个人信息和财产安全也面临威胁。一些劫持插件可能会导致部分网页出现诈骗、赌博等广告，用户很容易误点进入这些恶意网站，从而泄露个人信息，甚至遭受财产损失。例如，用户在被劫持的网站上输入个人支付信息，可能会被不法分子窃取，导致财产损失。
总之，发布站劫持插件对网站和用户都有着极大的危害，我们必须高度重视这一问题，采取有效的措施来防范和打击劫持插件的行为。

四、案例分析警钟鸣

（一）百度诉插件运营者案

北京百度网讯科技有限公司起诉上海政凯信息科技有限公司，原因是其运营的 “新媒体管家「Plus」” 浏览器插件在百度网页面中插入链接，强制跳转至新媒体管家网相关页面。百度公司认为该行为干扰和破坏了百度公司产品的正常运行，构成不正当竞争。
法院经审理认为，百度网是百度公司合法运营的搜索引擎产品，其在运营过程中所收获的经营收益及竞争优势属于合法权益，应受反不正当竞争法的保护。政凯公司在百度网插入的涉案链接，足以使用户误认为相关内容是由百度公司所提供，并在用户不知情的情况下被吸引至政凯公司经营的网站，干扰了用户对百度网搜索结果的正常使用，亦影响了用户的知情权和选择权。同时，政凯公司在百度公司所控制的产品经营范围内，未经同意，通过插入链接的方式强行加入了政凯公司的服务内容，干扰了百度网的正常搜索服务。此外，政凯公司插入涉案链接并无合理理由，且使用 “微信” 和 “实时热点” 字样吸引用户点击，被插入内容的展示方式和位置与百度网中的原有页面设置高度融合，主观恶意明显。涉案链接将用户引出百度网，大大降低了用户使用百度网进行搜索的交易机会以及再次回到百度网中浏览相关信息的可能，而政凯公司却据此获取了本不属于其自身的用户流量，从而获取不正当利益。最终，一审判决政凯公司赔偿百度公司经济损失 80 万元及合理开支 3 万元。宣判后，被告政凯公司提起上诉。

（二）恶意插件敛财案

以吕某、何某、吴某为首的 16 人犯罪团伙利用恶意插件强制用户访问设定好的网站，然后用骗来的高额点击量吸引客户在该网站投放广告。短短半年，该团伙以这种方式实现流量变现近 300 万元。吕某等 3 人作为互联网行业从业者，深知点击量的价值，于是打算在网吧电脑上安装劫持插件，强制网吧用户访问特定网页，来实现 “流量劫持” 的目的。随后，他们联系张某及谢某、王某等人参与劫持插件的开发及技术维护和测试，并安排施某、卢某以及蒋某等人分别在浙江省宁波市、台州市等地联系周某等 7 名网维公司人员，利用网维公司工作便利，在日常维护网吧服务器时私自部署劫持插件。经查实，仅宁波市海曙区一地，就有 20 余家网吧的 1700 余台电脑被安装了劫持插件。最终，经宁波市海曙区检察院依法提起公诉，法院以非法控制计算机信息系统罪判处吕某等 16 人有期徒刑十个月，缓刑一年四个月至有期徒刑三年十个月不等刑罚，各并处相应罚金。

五、防范之策共探讨

（一）安装防护软件
安装第三方防护软件是防范发布站劫持插件的重要手段之一。例如，360 安全卫士极速版就是一款能够有效防止网页劫持的杀毒软件，它不仅能够预防恶意劫持网页 DNS，还能对被劫持的网页进行修复。同时，像 IIS7 网站监控工具也是一款非常好用的预防网站劫持工具，它可以做到提前预防各类网站劫持，并且是免费在线查询，适用于各大站长、政府网站、学校、公司、医院等网站。它可以 24 小时定时监控，让用户清楚地知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及 DNS 是否被污染等等功能。

（二）关注服务器日志

关注服务器日志情况，排查异动登陆。服务器日志可以记录下服务器的各种活动，包括访问记录、错误信息等。通过定期检查服务器日志，可以及时发现异常情况，如不明来源的访问、异常的流量变化等。一旦发现异常，应立即采取措施进行排查和处理，防止劫持插件的进一步入侵。

（三）使用安全的网络环境

确保服务器所在的网络环境配置正确，使用强密码和多因素身份验证机制，限制对服务器的物理和网络访问权限。同时，配置防火墙、入侵检测系统等安全设备，如德迅云安全云眼监测，实时监测和防御潜在的攻击。

（四）定期备份数据

定期备份服务器的重要数据和配置信息，以便在发生 IP 劫持等安全事件时快速恢复数据和系统运行。备份数据可以存储在不同的位置，如本地硬盘、外部存储设备或云存储服务中。同时，要确保备份数据的安全性，防止被劫持者窃取或破坏。

（五）验证 IP 地址合法性

通过使用权威的 IP 地址管理机构（如 IANA）提供的 IP 地址数据库信息，验证服务器 IP 地址的合法性，及时发现并处理非法篡改的 IP 地址。如果发现 IP 地址被劫持，应立即采取措施进行恢复，如更换 IP 地址、向相关部门报告等。

（六）配置 DNSSEC

DNSSEC 是一种用于保护 DNS 查询的加密和验证机制，可以防止 DNS 欺骗和 IP 劫持。通过配置 DNSSEC，确保 DNS 解析结果的完整性和真实性。同时，要定期更新 DNSSEC 密钥，防止密钥被破解。

（七）监控和日志分析

实施全面的监控机制，实时监测服务器的网络流量和异常行为。同时，收集和分析服务器、路由器、交换机等设备的日志文件，提取有关 IP 劫持事件的信息，及时发现潜在的安全威胁。一旦发现异常情况，应立即采取措施进行处理，防止劫持插件的进一步扩散。

（八）及时响应和处理

一旦发现服务器 IP 被劫持的迹象，立即采取相应的处理措施，如隔离受影响的服务器、恢复数据等。同时，加强安全审计和漏洞扫描，及时修复存在的漏洞和问题。在处理劫持事件时，要及时向相关部门报告，如电信运营商、工信部等，寻求帮助和支持。

（九）合规性和法律意识

遵守相关法律法规和网络安全标准，加强网络安全意识教育，提高员工对网络安全的认识和防范能力。同时，了解并遵守相关法律法规对网络安全的要求和处罚措施，一旦发现违法犯罪行为，应及时向公安机关报案。
总之，防范发布站劫持插件需要综合采取多种措施，从技术、管理和法律等多个方面入手，加强网络安全防护，保障网站和用户的合法权益。

墨者安全已为游戏、电商、社交、金融等数千家互联网企业解决安全问题。通过云计算、大数据和人工智能技术助力企业打造更加智能、敏捷的风控系统，有效规避多种安全风险，使其免受因攻击带来的经济损失。例如，在某金融机构遭受 DDoS 攻击时，墨者安全迅速响应，利用其强大的防护能力和专业的技术团队，成功抵御了攻击，保障了金融机构的业务正常运行，避免了巨大的经济损失。
综上所述，墨者安全以其专业的技术、强大的团队和优质的服务，为企业提供了专业级的网络安全防御，是企业在网络安全领域的可靠合作伙伴。