始于上周的针对国际知名大站的大规模 IFRAME SEO 毒药攻击正在继续，被攻击站点的数量和规模在继续扩大，Google 已经开始采取措施过滤那些可能被注入 IFRAME 恶意代码的链接，目前被注入 IFARME SEO 毒药的大站包括：

• USAToday.com
• ABCNews.com
• News.com
• Target.com
• Packard Bell.com
• Walmart.com
• Rediff.com
• MiamiHerald.com
• Bloomingdales.com
• PatentStorm.us
• WebShots.com
• Sears.com
• Forbes.com
• Ugo.com
• Bartleby.com
• Linkedwords.com
• Circuitcity.com
• Allwords.com
• Blogdigger.com
• Epinions.com
• Buyersindex.com
• Jcpenney.com
• Nakido.com
• Uvm.edu
• hobbes.nmsu.edu
• jurist.law.pitt.edu
• boisestate.edu
• ...

什么是 IFRAME SEO 毒药攻击

为了方便访问者，很多知名大站会在站点内部提供搜索功能，而为了提高自己在搜索引擎中的 SEO 表现，这些大站一般会将用户在站点内部的搜索链接发布到 Google 等搜索引擎，这样，其他访问者在 Google 搜索同样关键词的时候，会被引导到这些大站自己的搜索结果上。 IFRAME SEO 毒药攻击就是利用了这个机制，攻击者先访问他们的目标站点，并在这些站点的内部搜索中提交一些热门的关键词，同时在搜索关键词的后面，加入一段恶意 IFRAME 代码，他们将这个伪造的搜索关键词提交之后，这些不知情的大站会为本次搜索生成一个链接并发布到 Google 等搜索引擎中，其他通过 Google 搜索同样关键词的用户有可能被引导到这个恶意链接，并通过恶意链接中被注入的 IFRAME 代码中的地址，被带到攻击者自己的恶意网站的页面从而感染病毒。

这些恶意 IFRAME SEO 毒药所指向的 IP 地址来源包括但不限于这些：

72.232.39.252
NetRange: 72.232.0.0 - 72.233.127.255
CIDR: 72.232.0.0/16, 72.233.0.0/17
NetName: LAYERED-TECH-
NetHandle: NET-72-232-0-0-1
Parent: NET-72-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.LAYEREDTECH.COM
NameServer: NS2.LAYEREDTECH.COM
Comment: abuse@layeredtech.com

195.225.178.21
route: 195.225.176.0/22
descr: NETCATHOST (full block)
mnt-routes: WZNET-MNT
mnt-routes: NETCATHOST-MNT
origin: AS31159
notify: vs@netcathost.com
remarks: Abuse contacts: abuse@netcathost.com

89.149.243.201
inetnum: 89.149.241.0 - 89.149.244.255
netname: NETDIRECT-NET
remarks: INFRA-AW
admin-c: WW200-RIPE
tech-c: SR614-RIPE
changed: technik@netdirekt.de 20070619
89.149.220.85
inetnum: 89.149.220.0 - 89.149.221.255
netname: NETDIRECT-NET
remarks: INFRA-AW
admin-c: WW200-RIPE
tech-c: SR614-RIPE
changed: technik@netdirekt.de 20070619

本文国际来源：http://ddanchev.blogspot.com/2008/03/massive-iframe-seo-poisoning-attack.html，由35公里编译并发布在 COMSHARP CMS 官方网站的行业新闻。