黑帽SEO高手来回答下寄生虫和SHELL的作用效果和区别

寄生虫

是利用搜索引擎算法的漏洞，快速取得，常见的传统黑帽seo手法有：垃圾链接，隐藏网页，刷IP流量，桥页，关键词堆砌，刷下拉，JS框架，站群等等。在新的2015年中百度加大对作弊性的SEO惩罚，于是乎道高一尺魔高一丈，镜像类的站群和繁殖程序火起来了，镜像高权重网站，或者SEO架构好的网站镜像内页繁殖程序等

在这期间还有一种就是劫持，出现ASP，PHP，HTML脚本劫持，反向代理劫持等，反向代理劫持案例典型的就是当年的李毅吧，脚本劫持原理就是调用写好的脚本，利用政府站或高权重站，大家都懂得，由于国家现在的机制，政府站是比较有权威性。给搜索引擎看的目标关键词，用户搜索的是看到的政府站。用JS判断用户搜索关键词进行跳转目标站。劫持太疯狂，百度后来还是出现了安全联盟拦截。劫持发展到现在。百度基本上对算法漏洞的弥补，基本上是没有什么大的作用。

shell

在seo方面常用shell命令,这里的shell是cygwin在windows平台上运行的Lunix模拟环境。

wc–c#查看

less#查看文件中的内容格式，按“q”退出

cat#打开文件，也可以同时打开多个文件，中间用“|”命令分隔。

Cat1.txt2.txt#合并打开文件

Cat*.txt#打开所有文本文件

grep#文本搜索命令，把符合搜索条件的行打印出来。

Grep–参数文件名#grep后面一半跟参数和文件名使用，也支持正则表达式。

-I#不区分大小写

-v#显示不符合搜索条件的所有行

-c#显示符合搜索条件的行数

Head#用来提取数据的前几行

Tail#用来提取数据的后几行

Head-100051.txt|tail-10000>>2.txt#head,tail的组合用法，提取1.txt文件中10005行到10000的数据，并写入2.txt文件中。

Wc#用来统计文本大小、字符多少及行数等。

Wc–c#统计文本的字节数。

Wc–m#统计文本的字符数

Wc–l#统计文本的行数

Sort#对文件中的数据排序

Sort–n#按数字的值进行排序，即“a-z,0-9”的顺序。

Sort–r#按数字的值反向排序，即“9-0，z-a”的顺序。

Uniq#去重命令，只能对已经排序的文档，才能起到去重计数的作用。

Uniq–c#去重并显示重复的次数

Awk#不需要对数据排序即可去重，当对源数据排序有特定需求时，可以选择awk来进行去重。

Split#文件分割命令，带参数使用。

Split–l行数#按行数切割

Split–b#按字节切割文件,如出现切割乱码情况，可使用-c保持每行的完整性。

流量劫持有多种方法，其中一种是DNS劫持。DNS是负责域名解析的服务器，举一个例子，我们访问百度输入的是域名www.baidu.com，计算机要通过DNS将域名转化成具体的IP地址，如58.217.200.39。一旦黑客破坏了DNS解析的过程，输入域名后，可能转化为黑客指定的IP地址，用户往往很难看出破绽，但所有的流量都会转向黑客指定的虚假的服务器，黑客不但可以很容易获取各种密码、个人信息等，还可以植入木马病毒，盗窃个人财产。

当前很多黑帽seo的行为应该也属于流量劫持。以下介绍几种黑帽seo常用的方法。

黑帽seo通过使用黑客软件对网站端口扫描，使用字典爆破网站ftp密码,开源程序的漏洞作为入口，等等方法拿到WebShell。然后就可以对网站任意修改或增加内容。

方法1：在高权重的网站上用寄生虫繁殖大量子目录和页面

收集整理大量要推广的行业词（一般是灰色行业），准备一些文本文字，然后运行某个程序，几分钟内就可以生产成千上万的页面，然后通过给这些页面导入，页面自然就会被百度收录。由于主域名权重较高，这些页面往往能获得好的排名。

方法2：在webshell网站页面加入跳转代码，百度蜘蛛抓取的内容和用户实际访问的内容完全不同,甚至可以根据访问者的地区来判断是否跳转。这就是明显的流量劫持，你想访问A网站却被带到B网站。

方法3:在webshell网站上加入大量链接，俗称黑链。也叫隐链，暗链。

方法4:取得域名解析权，大量的泛域名解析。

当然，黑帽seo还有其他一些手法。但无论怎样操作，黑帽seo都涉嫌对计算机信息系统中存储的数据进行修改。

如何防止网站被上传WebShell网页木马?

1)网站服务器方面，开启系统自带的防火墙，增强管理员账户密码强度等，抄更改远程桌面端口，定期更新服务器补丁和杀毒软件。

2）定期的更新服务器系统漏洞（windows20082012、linuxcentos系统），袭网站系统升级，尽量不适用第三方的API插件代码。

3）如果自己对程序代码不是太了解的话，建议找网站安全公司去修复网站的漏洞，以及代码的安全检测与百木马后门清除，国内推荐SINE安全公司、绿盟安全公司、启明星辰等的网站安全公司，做深入的网站安全服度务,来保障网站的安全稳定运行，防止网站被挂马之类的安全问题。

4）尽量不要把网站的后台用户的密码设置的太简单化,要符合10到18位的大小写字母+数字+符号组合。

5）网站后台管理的路径一定不能用默认问的admin或guanli或manage或文件名为admin.asp的路径去访问。

6）服务器的基础安全设置必须要详细答的做好,端口的安全策略，注册表安全，底层系统的安全加固，否则服务器不安全,网站再安全也没用

收到客户的反馈，说运行了一年的网站突然遭到黑客的攻击，系统cpu一直保持在100%，有进程也干不掉，然后客户就进行杀毒了，然后就把所有的exe文件都杀了，然后系统也就很多功能不正常了，数据库的服务也干掉了，然后我去看了下，发现网站目录下面被上传了大量的asp、php，htm的页面，里面的目录也有黑客上传了自己的目录，浏览哪些defalut.asp等方面的页面，就是黑客植入的页面，那要是被用户看见了，那真是一炮走红啊，黑客还很牛B的留下了脚印，果断写了自己的大名，在这种情况下，意识到这是中了WebShell木马，我立刻关闭了网站，然后来找解决方案。

一、什么是WebShell木马?

WebShell通常是以asp、php、jsp、asa或者cgi等网页文件形式存在的—种命令执行环境，也可以称为—种网页后门。黑客在入侵网站后，通常会将WebShell后门文件与网站服务器WEB目录下正常的网页文件混在—起，然后就可以使用浏览器来访问这些后门，得到命令执行环境，以达到控制网站或者WEB系统服务器的目的。这样就可以上传下载文件、查看数据库、执行任意程序命令等。

二、WebShell是如何入侵系统的?

1)利用系统前台的上传业务，上传WebShell脚本，上传的目录往往具有可执行的权限。在web中有上传图像、上传资料文件的地方，上传完后通常会向客户端返回上传的文件的完整URL信息，有时候不反馈，我们也可以猜到常见的image、upload等目录下面，如果Web对网站存取权限或者文件夹目录权限控制不严，就可能被利用进行webshell攻击，攻击者可以利用上传功能上传一个脚本文件，然后在通过url访问这个脚本，脚本就被执行。然后就会导致黑客可以上传webshell到网站的任意目录中，从而拿到网站的管理员控制权限。