几乎每个人都有过这样的经历：手机电脑上网时却莫名其妙弹出满屏的广告，并跳转到其他网页。。。

那么，背后的真相究竟是什么，黑客如何进行网页篡改，网站又该如何防范。本文分析国内网站内容篡改现状。

网站篡改攻击定义和动机

1、地下经济

黑帽SEO

黑客攻击的主要动机之一便是谋求经济利益，SEO是搜索引擎优化(Search Engine Optimization)的缩写，由于搜索引擎占互联网入口流量的60%以上，对搜索排名的优化直接影响到网站的市场营销效果。为提升搜索排名，与通过内容创造以优化网站内容质量的白帽SEO方案相比，非法的黑帽SEO往往非常快速而且有效。所以在网络地下黑产的世界，黑帽SEO是流量快速变现的重要手段。

网络菠菜、网络色情等地下经济背后是巨大的利润，因此此类非法服务运营者经常和黑帽SEO运营者合作，通过购买黑客攻陷的合法站点控制权，批量篡改被控网站的页面，实现菠菜站点推广。

以下几个截图展示黑帽SEO的典型效果，可以看到，通过嵌入各类菠菜长尾词及菠菜网站链接，篡改合法网站页面，从而让合法站点成为菠菜站点的引流工具。

利用篡改合法gov.cn网站实现黑帽SEO

向合法网站标题和内容嵌入菠菜链接及关

网站内容篡改趋势

(注：以下分析主要关注SEO类型和涉及政治的炫耀式篡改，暂不涉及恶意代码注入及资源滥用型篡改。)

2 、SEO篡改

近期SEO篡改类别

在最近半年的监测过程中，我们发现菠菜、色情、游戏类篡改是黑帽SEO的主流类型。相比过去，医疗、代孕广告类数量减少，可能和监管机关对非正规医疗机构推广限制有关。

篡改监控引擎发现的篡改类型占比情况

近期SEO来源统计

对近期收集分属于2563个domain的22939个SEO篡改页面的搜索引擎来源进行统计：

基于上述数据，可通过下图直观了解SEO篡改来源于国内不同搜索引擎的占比，以及各个搜索引擎的风险提示占比。其中SEO篡改来源占比越高意味着被利用进行SEO的推广明显较多，而风险提示占比则体现各搜索引擎对SEO篡改的监控力度。建议SEO篡改来源占比较高的搜索引擎增加黑产打击力度，以此降低用户发生经济损失的风险。

SEO来源及搜索风险提示占比

新SEO方式出现

近期发现一种重要的网站黑帽SEO趋势：注册已经被政府机关抛弃但曾用过的域名用来搭建菠菜等暴利网站，大量政府机关含有旧域名链接的网页就成了非法站点的天然外链，可以有效提升其PR值。

1、中央办公厅发布文件要求政府使用.gov.cn域名前，大量省、地市政府公务机关站自行申请域名，往往以.com 等注册。

2、.com政府网站存续期间，不同机关互相以.com站点引用。

3、中央发布文件，要求政府站点规范注册域名后缀。各政府站点相继抛弃.com站点，因为转换时间有先后，导致现存政府站点的旧页面往往依然留存有前述政府站点旧.com域名。

4、黑帽SEO黑客收购或重新注册拥有了已经被抛弃的政府站点的.com 旧域名，搭建菠菜类站点，利用此域名仍然存在于其他政府站点旧页面上存在的外链，获得高PR值天然优势。

一个曾经的公益站点在域名过期后成为黑帽SEO工具

从上图可以看到，曾经的公益站点 由于域名过期，现在竟然也成了菠菜类站点，曾经指向该站点的合法页面，也成了天然的SEO页面。

SEO反映的近期菠菜热度情况

从近期出现的菠菜黑词的频率看，主要集中在北京赛车、时时彩、分分彩等比较流行的在线菠菜游戏类型。详细菠菜游戏频次分布如下：