大规模IFRAME SEO毒药攻击正在持续

始于上周的针对国际知名大站的大规模 IFRAME SEO 毒药攻击正在继续，被攻击站点的数量和规模在继续扩大，Google 已经开始采取措施过滤那些可能被注入 IFRAME 恶意代码的链接，目前被注入 IFARME SEO 毒药的大站包括：

USAToday.com ABCNews.com News.com Target.com Packard Bell.com Walmart.com Rediff.com MiamiHerald.com Bloomingdales.com PatentStorm.us WebShots.com Sears.com Forbes.com Ugo.com Bartleby.com Linkedwords.com Circuitcity.com Allwords.com Blogdigger.com Epinions.com Buyersindex.com Jcpenney.com Nakido.com Uvm.edu hobbes.nmsu.edu jurist.law.pitt.edu boisestate.edu ...
什么是 IFRAME SEO 毒药攻击

为了方便访问者，很多知名大站会在站点内部提供搜索功能，而为了提高自己在搜索引擎中的 SEO 表现，这些大站一般会将用户在站点内部的搜索链接发布到 Google 等搜索引擎，这样，其他访问者在 Google 搜索同样关键词的时候，会被引导到这些大站自己的搜索结果上。 IFRAME SEO 毒药攻击就是利用了这个机制，攻击者先访问他们的目标站点，并在这些站点的内部搜索中提交一些热门的关键词，同时在搜索关键词的后面，加入一段恶意 IFRAME 代码，他们将这个伪造的搜索关键词提交之后，这些不知情的大站会为本次搜索生成一个链接并发布到 Google 等搜索引擎中，其他通过 Google 搜索同样关键词的用户有可能被引导到这个恶意链接，并通过恶意链接中被注入的 IFRAME 代码中的地址，被带到攻击者自己的恶意网站的页面从而感染病毒。

这些恶意 IFRAME SEO 毒药所指向的 IP 地址来源包括但不限于这些： 

72.232.39.252NetRange: 72.232.0.0 - 72.233.127.255CIDR: 72.232.0.0/16, 72.233.0.0/17NetName: LAYERED-TECH-NetHandle: NET-72-232-0-0-1Parent: NET-72-0-0-0-0NetType: Direct AllocationNameServer: NS1.LAYEREDTECH.COMNameServer: NS2.LAYEREDTECH.COMComment: abuse@layeredtech.com

195.225.178.21route: 195.225.176.0/22descr: NETCATHOST (full block)mnt-routes: WZNET-MNTmnt-routes: NETCATHOST-MNTorigin: AS31159notify: vs@netcathost.comremarks: Abuse contacts: abuse@netcathost.com

89.149.243.201inetnum: 89.149.241.0 - 89.149.244.255netname: NETDIRECT-NETremarks: INFRA-AWadmin-c: WW200-RIPEtech-c: SR614-RIPEchanged: technik@netdirekt.de 2007061989.149.220.85inetnum: 89.149.220.0 - 89.149.221.255netname: NETDIRECT-NETremarks: INFRA-AWadmin-c: WW200-RIPEtech-c: SR614-RIPEchanged: technik@netdirekt.de 20070619