域名抢注平台官网_溯源“西安环卫网事件“背后黑产域名抢注引流手法

近日，安恒信息中心研究院零一实验室发现，一黑灰色产业团伙注册了缩写为“西安环卫网”的域名，其中含有色情信息，并利用链接跳转至色情应用“小黄书”。 促进交通。 这些域名都是由黑灰公司注册的。 一方面，它们被用来窃取原网站和原网站链接网站的流量。 另一方面，一些已注册的域名可能仍处于有效注册状态，经常被用来绕过各种网站。 安全检查机制。

由于其域名的欺骗性，导致公众产生“政府网站管理差”的误解。 此外，引用抢注域名的网站将陷入“非法网站分流被黑状态”，成为传播非法信息的帮凶。 因此，各网站应加强对自身网站外部链接的安全检查。

活动概览

2023年2月3日，网络流传西安环卫网涉黄涉黄谣言。 该网站包含大量日本成人电影信息。 一时间网络上众说纷纭。 有的说网站被黑了，有的说网站被交给外包公司复制了。 色情网站模板，由于忘记删除原来的色情信息而导致。

安恒信息中央研究院零一实验室立即对事件进行调查，并制定了详细的时间表（如下图，具体研究过程和证据链见第三节），并确定该事件是由黑灰造成的这是由于域名被抢注，利用政府网站名称为色情应用引流造成的，对政府形象造成了极大损害。 本文将深入分析这些事件以及什么是抢注、为什么需要抢注、抢注后如何为黑灰产品引流等。

事件背后的黑灰生产、引流产业链

经灵易实验室研究，本次事件涉及域名抢注和建立黑灰流量站，其目的都是为黑灰产品引流。 所谓域名抢注，是指注册的域名在有效期结束前未及时续费，在一段时间后将被删除或拍卖。 在此期间，域名可能会被黑灰公司抢注。 黑灰战为什么要注册域名？ 我们推测原因如下：

域名价值较高，被用来敲诈原域名用户或欺骗普通用户。 例如“西安环卫网”的拼音缩写。 当这样的域名与标志搭配时，很容易让人误认为这是官方网站；

通过抢注域名，可以获得其原始流量，并利用它来欺骗搜索引擎爬虫。 您可以将互联网上的每个网站视为一片长满庄稼的田地。 爬虫和用户的流量就是灌溉田地的水。 种植农作物的沃土（网站内容合法、优质、易读）很容易受到爬虫的青睐。 因此，它非常肥沃； 而新建/毒品种植场（指含有非法信息的黑灰生产网站）直接获得的水量并不多，因此十分贫瘠。 黑灰行业抢注域名后，会利用一定手段，将正常网站中的水引至自己的非法领地。 经过大规模改道后，黑灰产生的非法田地也将同样郁郁葱葱。

活动回顾

抢先注册和可追溯性

从whois记录来看，该域名于2013年2月4日注册，2022年2月4日注册到期后进入30天续费宽限期，并进入29天高价赎回期等待删除。

该域名可以被抢注后，于2022年4月8日被Grey and Black抢注。

根据谷歌爬虫的快照记录可以发现，该网站于2022年11月10日出现了色情内容。

黑灰产生及排放分析

据研究，黑灰产品通过链接跳转+终端判断来实现流量引流。 网址是:///go.html。 虽然原来的网站已经无法访问，但我猜链接会跳转到这个网址。 我查了这个网站的ICP备案，发现它属于乌鲁木齐市工业和信息化局。 所以我认为这只是一个普通的网址。

我尝试访问，发现访问失败。

但网页被篡改的经历让我尝试了一下。 我继续在源码中查找，发现了一个奇怪的js——。 打开后发现异常。

该代码将确定访问者的平台。 如果是手机或者Linux系统，则会加载另一个js——。 继续访问发现js会判断访问是否是移动端并跳转到这个url。

用手机打开上面的网址，你就会发现线索。 会跳转到色情App的下载内容，也就是黑灰产品的POC。

总结

黑灰行业利用被抢注的域名作为传播非法信息的媒介。 他们可以毫不费力地将被抢注域名链接的网站引导到自己的非法页面，让政府、事业单位等重点单位的网站在不知不觉中处于被黑客攻陷的状态，因此非常有必要注意网站外部链接的安全。

所谓外部链接安全，是指网站会有很多指向外部的链接。 如果黑灰产品抓取了这些外部链接，他们可以轻松获取所有包含该链接的网站来为其引流，但网站管理员将很难及时识别出您网站上已注册的外部链接，因此，您常常是在发生重大事件之后才意识到外部链接安全现象。

其中比较轰动的事件是2017年发生的“人民教育出版社教材带有赌博链接”事件，事件起因是普通高中标准实验教材第14页有一栏“网站登录”课程《生物必修课3：稳态与环境》，其中包含链接（）。 打开后是一个赌博网站，页面上充斥着“赌场”、“斗地主游戏”等字样。当时造成了非常恶劣的影响，后来证实是黑灰战抢先注册了该域名这个名字本来应该是一个生物学教科书网站。