剖析复杂的“Slot Gacor”在线赌博SEO垃圾链接感染

原创

qife122

发布于 2026-02-07 18:46:15

1200

在线赌场垃圾链接无疑是近年来我们在受感染网站上看到的最普遍的垃圾内容类型之一。推广低质量或不理想网站的极其常见的方法是垃圾邮件发送者入侵网站，并在其中填充大量反向链接以提升其SEO。历史上，这种情况最常见于医药垃圾信息、论文代写服务、仿冒设计师商品等。然而，最近一个时期，出现了明显的向在线赌场的转变。

这些垃圾链接感染（最常见于WordPress网站）通常相当容易清理，但我们最近遇到一些恶意软件，它们额外费心让自己尽可能长时间地隐藏起来。

在本文中，我们将讨论一下什么是在线赌场垃圾链接，它为何变得如此普遍，并剖析我们最近在野外发现的一个特别有趣的感染案例。

什么是在线赌场垃圾链接？为何如此普遍？

在线赌场、其高利润性以及近年来如何/为何蓬勃发展的现象实际上相当有趣。在线赌场垃圾链接始于2020年代初的新冠疫情封锁时期。由于显而易见的原因，长时间被困在室内的人们感到极度无聊，需要找点事做。狂热的赌徒无法前往当地赌场，需要替代品。这催生了在线赌博的新时代，一时间它成为唯一可用的选择。

检查我们SiteCheck恶意软件扫描工具的后台数据发现，自2021年以来，检测量出现了特别强劲的上升趋势，以至于它现在已成为我们看到的最常见的黑帽SEO垃圾链接变体。它甚至开始超越多年来一直位居榜首的日语SEO垃圾链接。

另一个值得提及的点是像ChatGPT这样的大型语言聊天机器人模型的出现。前几年，在线论文代写服务是非常常见的黑帽SEO垃圾链接主题。当然，它仍然存在，但远不如以前那么普遍。由于显而易见的原因，这些先进的聊天机器人基本上终结了这些公司，因此垃圾邮件发送者需要转向其他地方。推广在线赌场似乎是他们最喜欢的替代方案之一。此外，他们可以回收他们那套老套的战术：只对搜索引擎可见的隐藏反向链接。

为什么在线赌场对垃圾邮件发送者有如此大的吸引力？

在线赌场能赚很多钱——非常多。想象一下：一个可访问的在线赌场，你可以花二十美元玩上几个小时（好吧，有些人认为这很有趣）。你玩几把老虎机，也许玩几局二十一点，结束时你可能输了几块钱，但消磨了时间。总的来说，是赌注低、廉价的娱乐。

然后乘以几千个同时玩的用户，你就会明白这些在线赌场如何赚这么多钱了。这些在线赌场不受物理的实体房地产空间限制，也不受当地消防局长容量限制的约束。他们拥有几乎整个万维网作为其潜在客户群。只要他们的服务器能处理流量，他们就能让骰子继续滚动（记住，庄家总是赢家）。

这整个新的在线赌场产业也催生了一个新的在线赌博SEO垃圾链接衍生产业。

垃圾邮件发送者的战术

现在让我们来看点实质内容，看看我们遇到的一个特别值得注意的感染案例。大多数托管在线赌场垃圾链接的被黑网站都是用WordPress构建的，这个例子也不例外。

有趣的是，这个恶意软件包含了几层冗余，确保如果恶意软件的一部分被发现并删除，还有备用方案。如果两个有效负载都被删除，那么还有一个额外的注入PHP脚本来重新感染网站。我们将在下面回顾所有这些。

我们注意到在线赌场垃圾邮件发送者使用的一个相当常见的战术是，通过用赌场垃圾链接页面替换网站上已有的页面来劫持它们。例如，如果网站上有一个“关于”页面，并且标题中有指向它的链接，垃圾邮件发送者只需在网站结构中创建一个同名的新目录，并在其中放置一个充满垃圾链接的index.html文件。这样，当访问者和搜索引擎试图导航到该页面时，他们看到的不是合法的“关于”页面，而是进入这个虚假目录，其中呈现一堆赌场垃圾链接和指向不受欢迎的赌场网站的反向链接。

原因是Apache和Nginx环境在将URL交给WordPress重写引擎之前，会首先解析真实的文件系统路径。WordPress的“漂亮固定链接”系统有点像一条巨大的重写规则：“对于任何不作为文件或目录已经存在的东西，将其发送到index.php，以便WP决定它映射到哪个页面/文章”。

垃圾邮件发送者劫持受影响网站上已有的页面和流量。不过，对他们不利的是，这些感染很容易修复。只需删除那些添加的目录就行了。

当然，一些更精明的垃圾邮件发送者察觉到了这一点，并决定稍微提升他们的手段。

垃圾搜索结果的产生

一位客户向我们求助，称其网站受到棘手的SEO垃圾链接感染。在Google中搜索受感染网站时，其中一个结果非常扎眼。不过，与许多垃圾链接感染不同，Google搜索结果并非完全充斥垃圾；仅仅是这个特定的页面返回了不受欢迎的内容。

只需访问该页面，就很容易在浏览器中复现这些垃圾内容；甚至不需要伪造Googlebot用户代理。因此，下一步是弄清楚这是如何发生的。

顺便提一下：Slot Gacor是印尼语“Slot Gampang Menang”的缩写，翻译成英语是“Easy Winning Slots”。它们是线上赌场中非常流行的一种游戏类型，因为它们以频繁且丰厚的奖励回报玩家而闻名。然而，众所周知，在赌场中，最终总是庄家赢。值得一提的是，所有形式的赌博在印度尼西亚都是非法的；这无疑增加了在线赌场在那里的诱惑力。稍后会详细说明。

隐藏内容

在这个案例中，是网站上名为“programs”的页面专门传递垃圾内容。然而，文件结构中并不存在名为“programs”的目录（就像我之前提到的“about”页面的例子）。那么这是如何发生的呢？

在其主题的functions.php文件底部隐藏着一些可疑代码。我们看到攻击者已经在数据库中植入了一个名为wp_footers_logic的选项，以及在wp-content/cache目录中的一个style.dat文件。如果它能找到那个伪造的wp_option，它将通过eval()执行解码后的有效负载。如果eval()被禁用（通过php.ini），那么它会将其写入wp-content/cache/style.dat并作为备用方案包含它。然后，当WordPress启动时，这些内容被渲染到页面中。

该选项的内容如下。解码后，我们看到以下内容。来自数据库的这个base64解码内容与那个style.dat文件中的内容相同。让我们快速分解一下它在这里做什么：

如果请求的URL/路径是“programs”，它才会运行，否则什么都不做。
如果该选项存在于数据库中，则获取它并回显到页面内容中。
如果该选项不存在，则从那个.xyz域名获取内容，然后使用update_option重新插入数据库。

当然，从browsec.xyz域名获取的内容正是上面展示的那个Slot Gacor垃圾内容。browsec.xyz域名本身的主页实际上似乎是仿冒一个免费VPN服务的官方网站，该服务可在Google Chrome商店下载。Whois记录显示，.com域名早在2012年就已注册，而这个伪造的.xyz域名是几个月前才注册的。这似乎是试图假装无辜或转移注意力的低劣尝试。

一些攻击者非常喜欢将他们的有效负载存储在网站数据库中，以及像本案例中.dat这样的非标准文件扩展名中。许多恶意软件扫描（例如，来自流行的WordPress安全插件）只会扫描某些文件扩展名（出于性能原因），有些甚至完全忽略数据库。尽可能降低在.php文件中的踪迹，同时将他们的垃圾链接隐藏/掩盖在其他地方，有助于垃圾邮件发送者逃避检测。

冗余与再感染

除了主题的functions.php文件外，完全相同的代码也存在于一个插件文件中：./wp-content/plugins/astra-addon/astra-addon.php。

Astra Addon插件本身没什么特别的（除了它是数据库中活动插件列表中显示的第一个插件）。垃圾邮件发送者本可以将其添加到网站上的任何活动插件，行为都会相同。

因此，他们没有把所有鸡蛋放在一个篮子里：

执行和渲染垃圾链接的代码同时存在于主题和插件文件中。
负责存储和/或获取垃圾链接的代码存储在两个不同的位置（wp_options以及style.dat）。
垃圾链接有效负载本身既存储在wp_options中，但如果该数据库值丢失或无法获取，也可以从攻击者控制的网站获取并重新加载。

因此，他们肯定仔细考虑过这个方案，并在感染的一部分被发现时设置了一些故障安全机制。

但这还不是全部！在另一个插件文件的底部，还嵌有一些代码，如果恶意软件被删除，它会重新感染主题/插件文件。

它会查找受感染文件中的标记：_wp_deferred_style_commit。如果未找到，则会将代码追加回主题的functions.php文件以及WordPress数据库中“活动插件”列表里标识的第一个插件的主插件文件（在本例中，是Astra插件）。

总而言之，这不仅仅是简单的数据库注入或添加垃圾链接目录；这是一个经过深思熟虑的、多层次的垃圾链接感染，为攻击者安装了多个故障安全机制。

面向国际受众

经典的医药垃圾链接主要针对英语世界，最突出的是美国。论文代写垃圾链接也是如此——几乎总是英语，可能针对英语国家的学生：英国、加拿大、澳大利亚、新西兰等。明显的例外是一直以来如此常见的日语垃圾链接，主要推销仿冒消费品。那么，为什么现在转向其他亚洲国家，特别是印度尼西亚，并且为什么是在线赌场？

在线赌场对世界上任何人开放，并且是一种普遍低成本、可访问的娱乐形式。此外，也许最重要的是，我们看到大量针对印度尼西亚、泰国、土耳其等国家的SEO垃圾链接，这些国家的赌博相关法律极其严格。事实上，印度尼西亚特别对所有形式的赌博采取零容忍政策；它恰好也是世界第四人口大国。对于那些没有其他赌博选择的人来说，这是一个巨大的目标市场。