事实:百度是如何判断网站的内容质量和外链价值的

　　事实:百度是如何判断网站的内容质量和外链价值的

　　最近，许多网站都被降级了。他们在观察和分析的同时，也在不断地反思；SEO优化主要分为站内和站外两大部分。内容和外部链接在 关键词 排名中占主导地位。我们做seo优化的长期部分。总结搜索引擎如何根据内容和反向链接来判断其价值：

　　通过搜索引擎判断内容：

　　首先是通过内容相似度来判断：6、22、6、28百度的两个K站都是根据内容是否相似度过高来判断的。一般收录的文章在其他网站都有，相似度肯定很高。百度将对这些采集

过多或相似度高的仿冒原创网站进行降权。百度告诉我们：

" />

　　这导致一些网站的内容质量很差，甚至随意穿插不当的文字关键词，仍然可以有很好的排名，而且在百度更新阶段没有受到相应的惩罚，这让很多seoer很疑惑，为什么别人的网站内容这么差却不被处罚？原因是它们虽然质量差，但还是原创内容，网上相似度很低。

　　二是通过用户“反馈”网站内容质量：为什么网站内容质量很差，也能得到很好的排名？百度前期利用网站内容的相关性、外链的质量和数量等对关键词进行评分，后期则是通过用户的行为来判断网站是否真正满足用户经验，这就是为什么一些6、22、6、28存活下来的网站，后来还是被打倒的原因；而部分网站仍未受到相应处罚。尤其是内容上离谱的那些（可以参考之前发表的文章：《“神站”排名如何分析关键词》），在关键词势头上依然继续保持不错的排名.

　　其实，用户的“反馈”并不都是真的。除了一些真正需要它的用户，Seoer 阻碍了数据的真实性。他们或好奇或不解，竭力研究这些网站为什么不被K，为什么不被降级，甚至想方设法让它消失：无事可做就举报投诉这个网站的快照（但百度发现很多人恶意投诉快照，百度也采取了相应的反制措施：投诉后删除快照）。因此，网站上的一些数据并不都是用户的“真实写照”，因为研究网站导致停留时间长，跳出率低，pv高。

　　一些低质量的网站经过Seoer的反复研究，导致搜索引擎认为其内容质量好，排名一直稳定；当他们离开Seoer时，他们的排名可能会很快下降，网站将受到惩罚。

" />

　　搜索引擎对外部链接的判断：

　　外链也是SEO、网站开发中的重点 1、因为外链的第二个原因，有很多网站降低了网站的权限，搜索引擎如何判断一个外链是否是有效，效果如何？现在终于有了明确的答案：“看外链对用户是否有价值”。过去我们把外链看成一个投票的过程。这看似容易理解，但做起来并不容易。现在外链也很清楚了：

　　现在如何做外链，什么样的外链才有效应该就很清楚了；如果外链做好了，对排名还是有很大帮助的。

　　总结：要玩游戏，首先要了解游戏规则；要做seo，还必须了解搜索引擎优化的原理。解决了外链内容和外链建设的优化问题，相信在seo中也会取得比较理想的排名。

　　事实:真实网站劫持案例分析

　　*本文原创作者：飞鸟，属于FreeBuf原创奖励计划，禁止转载。

　　1. 概述

　　过去一段时间，我一直忙于处理会议的安全和应急响应，借助公司云智能平台，发现并处理了数十起网站被劫持的*敏*感*词*。对黑客SEO技术很有感觉。就这一次有时间，我就和大家分享一下我之前遇到的比较有趣的案例。其中的许多技术已经玩过了，但是在互联网上搜索并没有太多关于这方面的介绍。所以在这里分享相关案例，案例主要分享想法。

　　1.1 原理

　　网站劫持是一种相对较古老的技术，主要由黑帽用于 SEO。要实施网站劫持，请按照以下步骤操作：

　　入侵相关网站

　　然后将JS插入网站或修改其配置文件，添加相应的劫持代码。此外，一般还增加了判断条件，判断条件一般根据用户代理或被推荐人来判断。大多数判断条件会决定它是爬虫还是人类，如果是人类，它会返回正常网站;如果是爬虫，则会返回相关*敏*感*词*、娱乐等黑客设置的网站

　　手动访问时，将显示普通网站。但是，当爬虫访问时，它会返回相关的*敏*感*词*和娱乐网站，导致收录

黑客精心准备的网站

　　黑帽SEO基本是针对爬虫收录的，正常内容会返回正常人类访问，所以这类网站很难找到，生存时间比较长1.2跳转判断

　　下面介绍JS劫持实现实际工作中遇到的JS脚本跳转的方法。JS脚本综合运用IP权属、UA、引用人的判断进行跳转判断。

　　1.2.1 确定知识产权所有权地

　　确定远程 IP 的来源，

　　如果远程IP是安徽省或北京市，则会直接重定向到此页面;如果原产地不是安徽或北京，您将被重定向到投注网站

　　1.2.2 裁判员

　　如果 referer 关键字是：百度、谷歌、雅虎、必应、soso、360 等搜索引擎爬虫，当爬虫去访问时，它会调用 browserRedirect（） 函数。browserRedirect（） 函数主要用于实现跳转判断。

　　1.2.3 确定用户代理

　　如果相应的用户代理匹配关键字iPad，iPhone OS，MIDP，UCweb，Android和其他移动设备，它将跳转到此投注网站

　　这是一个比较经典的JS判断条件，对IP地址、用户代理、引用的综合判断。黑客入侵相应网站后，只需要将引用的JS相关网站添加到网站中，通常直接在相关调用页面，如index.php这类页面直接插入如下代码：

　　1.3 性能

　　当一个网站被黑客入侵并用作SEO时，一般表现是手动访问，无法直接打开，并且只能通过更改浏览器的用户代理和引用来复制相应的被劫持页面。被劫持的页面通常如下所示：

" />

　　劫持案例-1（植入寄生程序）。

　　劫持案例-2（插入宣传内容）。

　　劫持案例-3（打开页面跳转到投注网站）。2.

　　前端劫持案2.1原理

　　前端劫持一般是将JS脚本插入网站对应页面，通过JS进行跳转劫持。

　　2.2 性能和检测

　　在前端劫持的情况下，浏览器会执行相应的JS脚本，因此我们可以通过捕获数据包来检测相应的JS脚本。您可以使用Burpsuite，Fiddler和Wireshark等工具来捕获数据包以进行分析和检测。此外，还可以打开对应的页面分析其源码进行判断，通过源码找出所有加载的JS脚本，然后分析JS脚本。

　　2.3 案例一个网站发现，当

　　它打开时，它会跳转到投注网站，分析其源代码，

　　并发现其页面插入了一个JS代码，导致它在打开时跳转到投注网站。

　　3.

　　服务器端劫持案例3.1原则

　　服务器端劫持，

　　也称为后端劫持，是对网站的动态语言文件的修改，例如Global.asax，global.asa，conn.asp，conn.php此类文件。这些文件是动态脚本每次加载时加载的配置文件，例如访问 x.php 时的连接.php。在这种情况下，只需要修改这些全局动态脚本文件（如global.asax），访问所有aspx文件时就会加载global.asax文件，就可以达到全局劫持的效果。

　　3.2 性能和检测

　　由于此类文件在服务器上执行，因此无法分析加载的恶意JS脚本，例如前端劫持。它需要在服务器上进行分析。通常，检测是检测全局脚本文件并分析其是否被恶意修改。此类文件通常不经常修改，因此可以使用文件完整性进行检查。初始配置后，将生成其 MD5 或 HASH 值，并定期将其 MD5 值与其是否更改进行比较。如果有更改，则会分析和检测更改的内容。

　　3.3 案例

　　在政府网站上发现了大量*敏*感*词*链接。但是，在其源代码和数据包捕获分析中没有发现可疑的JS脚本。在这种情况下，必须在服务器端劫持它。

　　因此，远程连接到其服务器，使用 aspx 开发其网站，并找到其 aspx 全局加载的文件 global.asax。分析其源代码，发现它已经被修改过，并添加了爬虫判断条件，如果被爬虫访问，它会直接跳转到相应的投注网站。

" />

　　对于服务器端劫持，请找到相应的插入代码。直接删除它，或用备份的文件覆盖它。但是，这并不能真正解决问题，并且通常修改了全局.asax文件，基本上表明黑客已经闯入了相应的服务器。因此，有必要做好全面的应急响应、日志分析、终结WebSHLL、系统层、应用层的全面安全检查。了解黑客如何进入并修复相应的漏洞，以便您可以真正解决此类问题。

　　4. 离奇的服务器劫持案例

　　一般来说，如果是服务器端劫持，黑客插入或修改的源代码部分基本上可以通过上述方法找到。但是昨天我遇到了一个相对离奇的服务器劫持案例。通过源码和抓包分析，判断黑客在服务器端做了劫持，但全局文件的相应分析长时间没有找到黑客将劫持代码插入的位置。

　　某政府电台使用爬虫UA打开相应的寄生虫模板，直接分析其索引.php文件，发现它只调用另一个文件。该文件的路径是：/phpcms/base.php

　　查找基本.php，因为它具有更多源代码。在分析了很长时间的源代码后，我没有找到用于劫持的代码，然后在同事的协助下，花了很长时间才找到黑客劫持所有代码。基.php直接加载公共库，公共库加载以下函数：

　　@include（PACK（'H*'，'443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31'））;

　　PHP 的 pack 函数功能如下：

　　@include（PACK（'H*'，'443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31'））; 其中：

　　H 代表以 16 为底

　　443A5C7765625C6C79715C75706C6F616466696C655C323031375C303232315C31表示相应的参数，需要转换。

　　转换后，其内容为\web\lyq\uploadfile\2017\0221\1

　　，这意味着基本.php使用 include Pack 函数调用文件 \web\lyq\uploadfile\2017\0221\1。找到了这个文件，分析了它的源代码，果然找到了黑客用户调用来劫持的文件。

　　这种情况还是比较离奇的，其实实现方式也是在服务端被劫持的，只是用函数加载了对应的劫持脚本。并且这个被劫持的脚本被放置在上传的目录中，因此分析起来会有一些麻烦。针对这种劫持，我觉得比较好的处理方式就是为关键文件生成基线MD5和HASH值，比如index.php、global.asax、conn.php等，然后定期比较这些文件的完整性，如果发现文件的完整性发生变化，就和基线文件进行比较。分析是否是正常变化。

　　目前黑帽做SEO除了上述，还植入JS挖矿。但是，在实际工作中，挖矿只遇到服务器上植入的挖矿程序，并没有遇到JS在网站植入挖矿的情况。我看到我遇到过JS的植入进行挖矿，所以网站页面代码中的JS也是网站安全分析的重点。后期云智能平台会加入恶意JS的识别和分析，遇到相关案例时分享给你。

　　*本文原创作者：飞鸟，属于FreeBuf原创奖励计划，禁止转载。