惡意網站小談

01-29

話前聊一聊

昨天寫了第一篇文章，講講被黑的網站，有些同學覺得不夠深入，讓分享點乾貨，講講怎麼使用黑帽手法提高流量，說實在的，這屬於SEO知識範疇，對SEO不是很熟，所以這個就沒辦法實現了，但是乾貨會有的；也有小夥伴向我反饋說被黑不只那幾種，比如網頁掛馬也算是被黑。

小夥伴們講的都沒錯，其實如果認真研究來，網頁掛馬肯定算被黑，就黑帽SEO的手法中需要黑網站來實現的手法也不只那幾種，昨天更多的介紹的是惡意網站中被黑這一大類的常見的幾種情況。看到這裡，估計有小夥伴會注意到我說的被黑這一大類，那麼其他的大類是？於是有了今天這篇文章，給大家聊聊惡意網站。

我來談惡意網站分類

說到惡意網站，可能大家平時最經常接觸的估計在幾個地方：

1、QQ上，各種中獎消息之類的，提示到哪個網站輸入信息可以獲得大獎

2、簡訊上，同第一種相同，只是通過簡訊來發送

3、QQ聊天窗口、搜索結果等的攔截提示上

當然還有微博私信等等、安全軟體攔截頁面等等

所以想來大家都不陌生，但大家平時最常見到的應該就是釣魚欺詐類的，比如以上三種里基本都是，還有以前比較流行的網頁掛馬，那麼大家有木有想過，除了常見的這些，惡意網站都有哪些呢？今天給大家來說說。

在我看來，惡意網站總的可以分為這幾類（以下僅來自個人的分類與定義）：

1、盜號釣魚
2、仿冒欺詐
3、黑客入侵
4、博彩賭球
5、淫穢色情
6、非法交易與銷售

7、病毒木馬
8、違法違規

首先解釋大家最關心的第五類，淫穢色情，這個詞什麼意思我就不解釋了。其實淫穢色情要看大家怎麼看了，從法律上講，是不允許的，自然算惡意，但如果大家覺得瀏覽這樣的網站沒有什麼損失，有這樣的需求，那麼就可以不是。不過一般往往色情網站自身帶有其他惡意行為，比如掛馬等，不過現在也有一些自標榜不含任何惡意代碼的「真色情」網站，是否如此就不得而知，筆者還是建議大家平時上網做好安全措施，比如安裝個noscript插件，就能阻止惡意js代碼的執行了。

其次是盜號釣魚與仿冒欺詐。盜號釣魚指的是通過偽裝頁面等方式獲取帳號密碼等私人信息；而仿冒欺詐，有仿冒也有欺詐，顧名思義，通過仿造頁面進行欺詐。其實這兩個類別是有交叉的，往往盜號釣魚的網站，通過就通過仿冒假冒的形式來進行，而這其實如果一定要算，也可以算做一種欺詐。但兩者有個區別在於盜號釣魚在於竊取帳號等信息，而仿冒欺詐，更在於欺詐。如下：

你覺得下圖哪個是真正的官網呢？

第一張

第二張

第二張才是真正的官網，俏十歲的域名是http://www.qiaoshisui.com/。第一張圖是不是可以以假亂真了？而這裡的仿冒就不是為了盜取帳號信息，因為你會發現登陸註冊根本是假的。

黑客入侵，就不解釋了，大家看昨天的文章，講的就是這類，文章地址http://zhuanlan.zhihu.com/fooying/19705511。

博彩賭球，其實大家在昨天的文章其實已經有看到過了。referer作弊跟ua作弊中搜索引擎真正看到的頁面其實都是博彩頁面。

非法交易與銷售，這個按照字面理解也很簡單，比如代辦信用卡、辦假證、刀具銷售等這些都屬於。

病毒木馬，網頁掛馬就屬於這一類，這個大家應該不陌生，在幾年前是非常流行，而現在已經是慢慢沒落了，這代表的是一個底下產業的沒落。

違法違規，估計有小夥伴又有話說了，前面幾類都是違法違規啊，難道你說木馬病毒不違法嗎？色情合法嗎？我只能說，小夥伴，你著道了。其實這個類更像是對不屬於以上幾個類別的惡意網站的補充，比如說反動網站等就屬於這類。

這就是我對惡意網站的分類，僅僅是個人根據長期處理惡意網站數據的經驗的看法。

惡意網站的一些小規律

說到以上8個類別，就根據數據量級來說，應該大概是這樣一個排序：

1、盜號釣魚、仿冒欺詐、病毒木馬
2、被黑、博彩賭球、色情
3、非法交易與銷售、違法違規

欺詐仿冒這些惡意網站取代了以前的病毒木馬成為頭號惡意網站分類。

就分布規律來說，經濟越發展的地區，惡意網站的數量越多，而根據網站類型及域名後綴來看，被黑主要就是http://gov.cn的政府及新聞網站，而博彩中經常見到純數字的.com域名，盜號釣魚及仿冒欺詐，因為有不只存在頁面仿冒假冒的，域名也有，所以域名相對沒什麼規律，其他幾個類別也是。不過總的來說，所有域名後綴，.com的佔比是最大的。

大概就是這樣，更多的規律與特徵，等有機會拿數字告訴大家。

惡意網站與數據廠商

排除國外廠商不說，國內，就筆者知道的而言，有惡意數據產出的有：

百度
騰訊
金山
知道創宇
阿里巴巴
360

而安全聯盟相信大家不陌生，就是聚合了百度、騰訊、金山、知道創宇的惡意網址庫。

本來想給大家介紹下每個廠商的數據，不過因為涉及到工作，就不多說了，簡單的說下。

各個廠商的數據在數量級、準確率、側重惡意類型等都不相同，首先可以明確的是因為涉及到自家業務，像阿里在對仿冒淘寶、支付寶等惡意網站的檢測，騰訊對仿冒QQ等業務的惡意網站的檢測都相對比其他家高。在此之外，因為金山有個網購賠付服務，所以金山在針對盜號釣魚與仿冒欺詐的惡意網站的處理上會更為專註，而知道創宇則擁有其他家都沒有的暗鏈的檢測能力，百度對於被黑中的SEO作弊的惡意網站的檢測則更多點。至於哪家的準確率高，就不多做點評了。

每個廠商的的惡意網址庫都不相同，也有自己獨有擅長的惡意網站類型的檢測能力。

而這些數據都在哪些地方使用呢？其實大家平常應該經常有接觸。比如百度搜索結果的安全攔截、QQ聊天窗口、QQ電腦管家、金山毒霸、百度殺毒等對惡意網站的攔截，還有騰訊微博、各種瀏覽器上對惡意網站的攔截，均是採用了雲端查詢惡意網址庫的一種模式，匹配雲端的庫，如果查詢到是惡意的，就攔截。

結語

簡單的跟大家談了談惡意網站，因為涉及到自己的工作，感覺寫的有點束手束腳了。

惡意網站大概就是這樣，具體的深入研究，大家不凡自己去研究下，比如說你要研究數據準確性，百度搜索結果就有數據來源，而360的數據、阿里等均有在自己的產品中使用，大家可以找一些已知是及不是的網址分別查詢下，看看哪些漏報了，哪些誤報了。當然這只是提供一個思路，大家可以有更多的想法。

最後，歡迎大家關注我的知乎專欄：http://zhuanlan.zhihu.com/fooying

也歡迎大家關注我的微信公眾帳號：掃描下方二維碼或者搜索0xsafe.

附上昨天背景圖大圖地址：http://pan.baidu.com/s/1c0lCrQC