原文链接：dc4K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3&6W2N6s2y4W2j5%4g2J5K9i4c8&6i4K6u0W2y4e0q4U0N6r3!0Q4x3X3g2U0L8$3#2Q4x3V1k6S2M7Y4c8Q4x3V1j5J5x3o6p5K6x3o6g2Q4x3V1j5K6z5e0j5@1y4o6k6Q4x3X3g2Z5N6r3@1`.

5月24日，SCANV网站安全中心研究人员发现了一起黑帽SEO事件，与以往不同的是，这次攻击者并没有通过传统的篡改网站页面来达到目的，而是采用了"域名劫持"这一阴狠的曲线攻击方式。

通过百度搜索"戏王博彩现金开户"，会发现大量.gov.cn结尾的政府站点域名都出现了博彩网站的广告。

而直接通过浏览器输入域名，则会跳转到hxxp：//180.168.41.175/的这个IP，访问之后浏览器返回如下页面，并没有出现博彩网站的内容。

通过查看HTML源代码，发现了问题所在，原来这个网站的内容只是一个框架。

其中的js代码会判断来路，并做相应的跳转。如果用户直接输入网址，则转到上述的114导航页；如果用户通过百度访问网址，则跳转到hxxp：//402K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6e0x3H3z5o6R3H3i4K6u0W2j5$3!0E0i4K6u0r3i4K6t1K6P5U0N6@1k6h3q4E0i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1#2i4K6S2p5i4K6W2m8i4@1f1#2i4@1u0p5i4@1p5&6i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1%4i4@1q4n7i4K6V1&6i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1@1i4@1t1^5i4K6V1@1i4@1f1#2i4K6W2r3i4K6W2r3i4@1f1#2i4K6V1H3i4K6S2p5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1$3i4K6W2o6i4K6R3&6i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1@1i4@1t1^5i4@1q4m8P5U0N6@1k6h3q4E0i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4K6V1&6i4@1q4q4i4@1f1&6i4K6R3I4i4K6S2p5i4@1f1#2i4K6W2r3i4K6W2r3i4@1f1#2i4K6V1H3i4K6S2p5i4@1f1#2i4K6V1H3i4K6S2q4i4@1f1&6i4K6W2p5i4@1p5J5i4@1f1#2i4K6S2m8i4@1p5H3i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1%4i4@1t1I4i4@1u0n7i4@1f1#2i4K6R3$3i4K6R3#2i4@1f1#2i4@1q4q4i4@1t1&6i4@1f1&6i4K6R3H3i4K6W2m8i4@1f1#2i4@1t1^5i4@1t1^5i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1#2i4@1t1&6i4@1u0r3i4@1f1#2i4K6V1I4i4K6S2m8i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1%4i4@1p5%4i4K6S2p5i4@1f1$3i4K6R3&6i4K6S2n7i4@1f1$3i4@1t1K6i4K6V1#2i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1%4i4K6V1@1i4@1p5^5i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1%4i4@1u0n7i4K6W2r3i4@1f1^5i4@1q4q4i4@1p5I4i4@1f1%4i4K6W2n7i4@1t1^5i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1$3i4K6W2p5i4@1p5#2i4@1f1^5i4@1t1%4i4@1q4r3i4@1f1@1i4@1u0r3i4@1p5I4i4@1f1$3i4K6R3I4i4@1q4r3i4@1f1K6i4K6R3H3i4K6R3J5

继续分析，一个正常的政府网站是不会有那些奇葩的域名的，尝试一些*.demo.gov.cn，都会被解析，那么可以得出，这些域名肯定使用了泛解析。

根据SCANV网站安全中心研究人员的推断：假设是政府网站服务器被黑，攻击者可以利用的只有服务器权限，而没有域名权限，也就是说攻击者只能更改a59K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3c8W2L8h3!0Q4x3X3g2Y4L8%4k6Q4x3X3g2U0L8W2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2)9&6c8W2)9&6c8W2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9^5y4W2)9^5y4g2!0q4y4g2!0m8c8g2!0n7z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4)9^5x3q4)9^5b7#2!0q4y4q4!0n7b7W2)9^5c8g2!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4W2!0m8b7#2!0m8x3g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2!0m8y4q4!0m8y4#2!0q4z5q4!0m8y4#2)9^5y4q4!0q4y4W2!0m8z5q4!0m8x3g2!0q4y4g2)9^5b7g2!0m8b7W2!0q4y4W2)9^5b7#2)9^5x3g2!0q4y4#2)9^5z5g2!0n7z5g2!0q4y4g2!0n7c8g2)9^5x3g2!0q4y4W2)9&6c8q4!0m8y4g2!0q4y4#2)9&6b7#2)9^5b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4g2)9^5c8W2!0m8c8W2!0q4z5q4)9^5x3#2!0n7c8q4!0q4y4W2)9&6z5q4!0m8c8W2!0q4z5q4)9^5c8g2!0n7y4#2!0q4y4g2!0n7c8g2)9&6y4#2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4g2)9^5c8W2)9&6y4#2!0q4y4g2!0m8c8g2!0n7x3#2!0q4y4#2!0m8b7W2)9&6z5g2!0q4y4#2)9^5x3W2!0n7z5g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9&6c8W2)9&6c8W2!0q4y4g2)9&6x3q4)9^5c8q4!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4#2)9&6x3q4)9^5y4W2!0q4y4q4!0n7c8W2!0m8x3g2!0q4y4W2)9^5x3g2!0m8c8W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

接着whois查询相关信息。发现大部分的受害站点是在"广东时代互联科技有限公司"注册的，小部分是在新网注册的。

而两家企业的数据库都有遭骇客攻击的经历，所以很可能是由于被脱库导致的用户信息泄漏。然后攻击者通过泄漏的数据库登录修改DNS指向，添加泛解析，导致网站出现其他的域名被指向了同一个黑页服务器。

SCANV网站安全中心在此提醒广大站长，请定期修改自己域名的管理密码，并做相应的检查。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！