剖析“Slot Gacor”:网络赌博SEO垃圾邮件的多层技术伪装

本文深入分析了近期流行的在线赌博SEO垃圾邮件(特别是“Slot Gacor”),通过剖析一个真实感染案例,揭示了攻击者如何利用多层代码冗余、数据库注入和文件伪装技术来长期驻留并隐藏恶意内容,探讨了其背后的经济动因与技术演变。

Slot Gacor: 在线赌博垃圾邮件的兴起

无疑,在线赌博垃圾邮件是近年来我们在受感染网站上看到的最普遍的垃圾内容类型之一。垃圾邮件发送者推广低质量或不理想网站的一个极其常见的方法是入侵网站,并填满反向链接以提高其SEO排名。从历史上看,这在医药垃圾邮件以及论文代写服务、仿冒名牌商品等方面最为常见。然而,最近一段时间,明显转向了在线赌博领域。

一张典型的兜售在线赌博的广告,展示了一张由人工智能生成的传统美女图片。

大多数情况下,这些垃圾邮件感染(最常见于WordPress网站)清理起来相当简单,但我们最近遇到了一些恶意软件,它们额外花费了精力以尽可能长时间地隐藏自己。

在这篇文章中,我们将简要讨论在线赌博垃圾邮件是什么,它为何变得如此普遍,并剖析我们最近在野外发现的一个特别有趣的感染案例。

什么是在线赌博垃圾邮件?为何它如此普遍?

在线赌博的现象、它们为何如此有利可图,以及它们如何在近年来蓬勃发展,实际上相当有趣。

在线赌博垃圾邮件始于2020年代初的COVID-19封锁时期,初期规模不大。出于显而易见的原因,被长时间关在室内的人们感到极度无聊,需要找事情做。狂热的赌徒无法去当地的赌场,需要替代方案。这迎来了在线赌博的新时代,一度成为唯一可用的选择。

检查我们SiteCheck恶意软件扫描工具的后端数据,自2021年以来检测量呈现出特别强劲的上升趋势,以至于它现在已成为我们所见的最常见的黑帽SEO垃圾邮件变种,位居榜首。它甚至已经开始超越多年来一直是主要竞争对手的日文SEO垃圾邮件。

我们的SiteCheck工具检测到的在线赌博/赌场垃圾邮件案例。请注意,这些结果仅涉及我们自己的检测,并不代表整个网络的情况。

请注意,此图表很可能被低估了。某些类型的赌博/赌场垃圾邮件是通过通用特征检测的,并未包含在此处。然而,这仍然说明了近年来的明显增长。

另一个值得提及的点是像ChatGPT这样的大型语言聊天机器人模型的出现。在过去的几年里,在线论文代写服务是一个非常常见的黑帽SEO垃圾邮件主题。当然,它现在仍然存在,但远不如过去那么普遍。由于显而易见的原因,这些先进的聊天机器人基本上终结了这些公司的生意,因此垃圾邮件发送者需要转向其他地方。推广在线赌场似乎是他们最喜欢的替代方案之一。此外,他们可以回收他们那些仅对搜索引擎可见的隐藏反向链接的老一套策略:

受感染网站上隐藏的黑帽SEO垃圾邮件链接的典型示例。

为什么在线赌场对垃圾邮件发送者如此有吸引力?

在线赌场能赚很多钱——非常多。想象一下:一个易于访问的在线赌场,你可以花上大概二十美元玩上几个小时(好吧,有些人认为这很有趣)。你玩几把老虎机,也许玩几局二十一点,结束后你可能输了几块钱,但也打发了一些时间。总的来说,这是一种相当低风险、廉价的娱乐。

然后,将这个数字乘以数千名同时在线用户,你就能明白这些在线赌场是如何赚这么多钱的。这些在线场所不受实体房地产空间的限制,也不受当地消防局容量规定的束缚。他们几乎将整个万维网作为他们的潜在客户群。只要他们的服务器能处理流量,他们就能让骰子继续滚动(请记住,庄家总是赢家)。

这一大批新的在线场所也催生了一个新的衍生行业——在线赌博SEO垃圾邮件。

垃圾邮件发送者的策略

现在,让我们进入正题,看看我们遇到的一个特别值得注意的感染案例。大多数托管在线赌博垃圾邮件的被黑网站都是用WordPress构建的,这个例子也不例外。

有趣的是,这个恶意软件包含了多层冗余机制,确保如果恶意软件的某一部分被发现和删除,还有备用方案。而如果两个有效载荷都被删除,还有一个额外注入的PHP脚本来重新感染网站。我们将在下面回顾所有这些。

我们注意到在线赌博垃圾邮件发送者使用的一个相当常见的策略是通过用赌博垃圾页面替换网站上已有的页面来劫持它们。例如,如果网站有一个“关于”页面,并且在页眉中有指向它的链接,垃圾邮件发送者将简单地在网站结构中创建一个具有相同“about”名称的新目录,并在其中放置一个充满垃圾链接的index.html文件,像这样:

这样,当访问者和搜索引擎试图导航到该页面(先前已被抓取和索引)时,他们看到的不是合法的关于页面,而是进入这个虚假目录,其中展示了一堆赌博垃圾邮件和指向不受欢迎的赌场网站的反向链接。

原因是Apache和Nginx环境在将URL交给WordPress重写引擎之前,会先解析真实的文件系统路径。WordPress的“漂亮固定链接”系统就像一个巨大的重写规则,内容是:“对于任何不作为文件或目录已经存在的东西,将其发送到index.php,以便WordPress可以决定它映射到哪个页面/文章”。

垃圾邮件发送者劫持受影响网站上已存在的页面和流量。然而,对他们不利的是,这些感染很容易修复。只需删除那些添加的目录,问题就解决了。

当然,一些更精明的垃圾邮件发送者察觉到了这一点,并决定稍微提升他们的手段。

垃圾搜索结果

我们的一位客户带着一个棘手的SEO垃圾邮件感染来找我们。在Google中搜索受感染的网站时,其中一个结果格外扎眼:

然而,与许多垃圾邮件感染不同,Google搜索结果并没有完全充斥着垃圾内容;只有这一个特定的页面返回了不受欢迎的内容。

在浏览器中只需访问该页面就很容易重现这些垃圾内容;甚至不需要伪造Googlebot用户代理:

所以,接下来需要弄清楚这是如何发生的。

简单插一句:Slot Gacor 是印度尼西亚语“Slot Gampang Menang”的简称,翻译成英语是“Easy Winning Slots”(容易赢的老虎机)。它们是网上赌场中非常流行的一种游戏类型,以频繁给予玩家丰厚奖励而闻名。然而,众所周知,当涉及赌场时,最终总是庄家赢。值得一提的是,所有形式的赌博在印度尼西亚都是非法的;这无疑增加了那里在线赌场的诱惑力。稍后再详细讨论。

伪装内容

在这个案例中,具体是网站上的“programs”页面在投放垃圾内容。然而,文件结构中并不存在名为“programs”的目录(就像我之前提到的“about”页面示例)。那么这是怎么发生的呢?

在他们主题的functions.php文件的底部隐藏着一些可疑的代码:

在这里,我们看到攻击者在数据库中植入了一个选项名称为wp_footers_logic的内容,以及在wp-content/cache目录中的一个style.dat文件。如果能找到那个伪造的wp_option,它将通过eval()执行解码后的有效载荷。如果eval()被禁用(通过php.ini),它会将其写入wp-content/cache/style.dat,并作为备用方案include它。当WordPress加载时,内容就会被渲染到页面中。

该选项看起来像这样:

解码后,我们看到以下内容:

来自数据库的这个base64解码内容与style.dat文件中的内容完全相同。让我们快速分析一下它在做什么:

  1. 如果请求的URL/路径是“programs”,它才会运行,否则什么都不做。
  2. 如果数据库中存在该选项,则获取并将其回显到页面内容中。
  3. 如果该选项不存在,则从那个.xyz域名获取内容,然后使用update_option重新插入数据库。

自然地,从browsec[.]xyz域名获取的内容正是上面显示的Slot Gacor垃圾内容:

browsec[.]xyz域名本身的主页实际上似乎是仿冒一个可在Google Chrome商店下载的免费VPN服务的官方网站(.com域名)。Whois记录显示,.com域名早在2012年就已注册,而.xyz虚假域名是几个月前才注册的。这似乎是一种试图假装无辜或转移注意力的低水平尝试。

一些攻击者非常喜欢将他们的有效载荷存储在网站数据库中,以及像本例中.dat这样的非标准文件扩展名中。许多恶意软件扫描(例如来自流行的WordPress安全插件)只会扫描某些文件扩展名(出于性能原因),有些甚至完全忽略数据库。在.php文件中尽可能保持低调,同时将他们的垃圾内容隐藏/伪装在其他地方,有助于垃圾邮件发送者逃避检测。

冗余与再感染

除了主题的functions.php文件外,完全相同的代码也存在于一个插件文件中:

1

./wp-content/plugins/astra-addon/astra-addon.php

Astra Addon插件本身没有什么特别之处(除了它是数据库中活动插件列表里第一个出现的插件,稍后再详述)。垃圾邮件发送者可能已将代码添加到网站上的任何活动插件中,其行为方式相同。

因此,他们没有把所有的鸡蛋放在一个篮子里:

  • 执行和渲染垃圾内容的代码同时被嵌入了主题文件和插件文件中。
  • 负责存储和/或获取垃圾内容的代码存储在两个不同的位置(wp_optionsstyle.dat)。
  • 垃圾内容有效载荷本身既存储在wp_options中,如果该数据库值丢失或无法获取,也可以从攻击者控制的网站重新获取和加载。

所以,他们肯定仔细考虑过这个问题,并在他们的感染部分被发现时设置了一些故障保护措施。

但这还不是全部!在另一个插件文件的底部,还嵌入了以下代码,如果恶意软件被删除,它会重新感染主题/插件文件(以下是一个片段):

它会在被感染的文件中寻找标记:

1

_wp_deferred_style_commit

如果未找到,它会将代码重新附加到主题的functions.php文件以及WordPress数据库“active plugins”列表中识别的第一个插件的主文件上(在本例中是Astra插件):

总而言之,这不仅仅是简单的数据库注入或添加垃圾目录;这是一个经过深思熟虑的、多层次的垃圾邮件感染,为攻击者安装了多个故障保护措施。

国际受众

经典的医药垃圾邮件主要针对英语世界,尤其是美国。论文代写垃圾邮件也是如此——几乎总是英文,可能针对英语国家的学生:英国、加拿大、澳大利亚、新西兰等。明显的例外是日文垃圾邮件,它一直很常见,主要兜售仿冒消费品。那么,为什么现在是其他亚洲国家,特别是印度尼西亚,以及为什么是在线赌场?

在线赌场对世界上任何人都是可用的,并且是一种普遍低成本的易于获取的娱乐形式。此外,也许最重要的是,我们看到大量这类针对性的SEO垃圾邮件所面向的几个国家(印度尼西亚、泰国、土耳其等)对赌博有着极其严格的本地法律。事实上,印度尼西亚尤其对所有形式的赌博持零容忍政策;它恰好也是世界第四人口大国。这对于那些没有其他赌博选择的人来说是一个巨大的目标市场。

随时提供帮助

一如既往,如果你是网站所有者,正在处理在线赌场垃圾邮件感染或任何其他类型的恶意软件,我们绝对可以提供帮助。毕竟,这就是我们的工作!

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次