5月24日，SCANV網(wǎng)站安全中心研究人員發(fā)現(xiàn)了一起黑帽SEO事件，與以往不同的是，這次攻擊者并沒有通過傳統(tǒng)的篡改網(wǎng)站頁面來達(dá)到目的，而是采用了"域名劫持"這一陰狠的曲線攻擊方式。

通過百度搜索"戲王博彩現(xiàn)金開戶"，會(huì)發(fā)現(xiàn)大量.gov.cn結(jié)尾的政府站點(diǎn)域名都出現(xiàn)了博彩網(wǎng)站的廣告。

而直接通過瀏覽器輸入域名，則會(huì)跳轉(zhuǎn)到hxxp：//180.168.41.175/的這個(gè)IP，訪問之后瀏覽器返回如下頁面，并沒有出現(xiàn)博彩網(wǎng)站的內(nèi)容。

通過查看HTML源代碼，發(fā)現(xiàn)了問題所在，原來這個(gè)網(wǎng)站的內(nèi)容只是一個(gè)框架。

其中的js代碼會(huì)判斷來路，并做相應(yīng)的跳轉(zhuǎn)。如果用戶直接輸入網(wǎng)址，則轉(zhuǎn)到上述的114導(dǎo)航頁；如果用戶通過百度訪問網(wǎng)址，則跳轉(zhuǎn)到hxxp：//www.30880.com/#z7team這個(gè)博彩網(wǎng)站，且域名后面有一個(gè)z7team，普遍域名后面加上這類內(nèi)容通常是廣告的一種手法，用來統(tǒng)計(jì)相應(yīng)的來路信息。

繼續(xù)分析，一個(gè)正常的政府網(wǎng)站是不會(huì)有那些奇葩的域名的，嘗試一些*.demo.gov.cn，都會(huì)被解析，那么可以得出，這些域名肯定使用了泛解析。

根據(jù)SCANV網(wǎng)站安全中心研究人員的推斷：假設(shè)是政府網(wǎng)站服務(wù)器被黑，攻擊者可以利用的只有服務(wù)器權(quán)限，而沒有域名權(quán)限，也就是說攻擊者只能更改www.demo.gov.cn這個(gè)域的內(nèi)容，而從這次的大規(guī)模劫持特征來看，攻擊者可能是獲得了受害站點(diǎn)的域名管理信息。

接著whois查詢相關(guān)信息。發(fā)現(xiàn)大部分的受害站點(diǎn)是在"廣東時(shí)代互聯(lián)科技有限公司"注冊(cè)的，小部分是在新網(wǎng)注冊(cè)的。

而兩家企業(yè)的數(shù)據(jù)庫都有遭駭客攻擊的經(jīng)歷，所以很可能是由于被脫庫導(dǎo)致的用戶信息泄漏。然后攻擊者通過泄漏的數(shù)據(jù)庫登錄修改DNS指向，添加泛解析，導(dǎo)致網(wǎng)站出現(xiàn)其他的域名被指向了同一個(gè)黑頁服務(wù)器。

SCANV網(wǎng)站安全中心在此提醒廣大站長，請(qǐng)定期修改自己域名的管理密碼，并做相應(yīng)的檢查。