警惕！你的网站可能正被bshare插件“暗中操控”(图文)

bshare 插件网页劫持事件曝光

最近，互联网安全领域爆出一则令人震惊的消息：bshare 插件被卷入网页劫持风波，大量使用该插件的网页遭受恶意攻击，这一事件涉及范围之广，影响之大，着实让人警醒。
据奇安信网站云监测和威胁情报中心在日常监测中发现，许多站点在特定时间段，即晚上 9 点至凌晨 5 点，只要使用安卓 UA 的设备访问，就会被强制跳转至同一色情网页 。起初，大家以为是个别网站自身安全防护不足，被黑产组织攻破利用。但深入调查后发现，这些网页都有一个共同特点 —— 引用了名为 bshare 的分享按钮插件，其对应的服务域名为static.bshare.cn。经过对该域名的深度分析，最终确认这是一起精心策划的通过抢注过期通用插件服务域名，进而实施大范围网页劫持的恶劣攻击事件。初步评估，受此事件影响的网页恐达百万级别，涵盖各类网站，从个人博客到企业官网，从资讯平台到电商站点，几乎涉及网络的各个角落。

bshare 插件原本的功能与使用情况

在探讨此次网页劫持事件之前，我们先来回顾一下 bshare 插件的 “前世”。bshare 插件，曾经是众多网站开发者的得力助手，它作为一款分享按钮组件，旨在为网页提供便捷的一键分享功能。通过简单的代码嵌入，网站就能在页面上展示出一排醒目的分享按钮，涵盖了当时主流的社交平台，如 QQ 空间、新浪微博、微信、腾讯微博、人人网 等。
使用方式也相当简单，开发者只需在原网页中插入 bshare 网站的 js 资源，如 hxxp://static [.]bshare.cn/b/bshareC0.js、hxxp://static[.]bshare.cn/b/buttonLite.js ，然后按照规范设置相关参数，就能轻松实现分享功能。对于网站运营者来说，这不仅极大地提升了用户分享内容的便利性，还能借助用户的分享行为，扩大网站内容的传播范围，增加网站的曝光度和流量，可谓是一举两得。
正因如此，bshare 插件在过去受到了广泛的欢迎和应用。无论是个人站长精心打造的小众博客，还是大型企业的官方网站；无论是专注于资讯传播的新闻平台，还是以商品交易为主的电商网站，都能看到 bshare 插件的身影。它就像一个无处不在的分享使者，连接着网页与社交网络，让信息得以在不同的平台间快速传播。据不完全统计，在其鼎盛时期，接入 bshare 插件的网站数量众多，几乎涵盖了互联网的各个领域，成为了网页分享领域的一款标志性插件。

网页劫持事件的详细过程

（一）发现异常

奇安信网站云监测和威胁情报中心在日常威胁狩猎活动中，就像敏锐的猎手一样，察觉到了网络世界中的异常波动。他们发现，在特定的时间段，即晚上 9 点至凌晨 5 点这个夜深人静、网络活动相对不那么活跃却又暗藏玄机的时段，只要是使用安卓 UA（User - Agent，用于标识用户设备和浏览器信息）的设备访问许多站点，就会出现令人匪夷所思的现象 —— 网页会强制跳转至同一色情网页。
起初，安全专家们推测可能是个别站点自身存在安全漏洞，被那些隐匿在黑暗网络角落的黑产组织趁虚而入，攻破并利用，将恶意代码注入其中，从而实现网页跳转，以达到传播色情内容、获取非法利益等不可告人的目的。毕竟，在复杂的网络环境中，单个网站的安全防护一旦出现薄弱环节，就极易成为黑产攻击的目标。
但随着调查的深入，事情逐渐露出了端倪。安全团队发现，这些看似毫无关联的被跳转网页，都存在一个共同的特征 —— 它们都引用了名为 bshare 的分享按钮插件，而该插件对应的服务域名正是static.bshare.cn。这个发现就像是在黑暗中点亮了一盏明灯，让调查的方向逐渐清晰起来，也预示着这可能并非简单的个别网站安全事件，而是一场涉及范围更广、策划更为精密的网络攻击。

（二）溯源分析

顺着static.bshare.cn这个关键线索，安全专家们展开了深入的溯源分析，就如同侦探在侦破案件时追寻线索一般，不放过任何一个细节。
bShare 原本是擘纳 (上海) 信息科技有限公司旗下的产品，然而，这家公司早在 2018 年 2 月 18 日就已经注销。但令人感到蹊跷的是，在 2020 年 1 月 27 日，bshare.cn的 whois 信息显示该域名依然有效，并且注册人联系邮箱为 sa@i-click.com，这个邮箱域名与擘纳 (上海) 信息科技有限公司的邮箱域名有着千丝万缕的联系。与此同时，i-click.com和i-click.cn这两个域名不仅相似，在 2021 年 3 - 4 月份还曾同时解析到 210.5.172.215 这个 IP 地址上。经过进一步查询，发现i-click.cn的 ICP 备案属于爱点击（北京）数据科技有限公司（京 ICP 备 13006473 号 - 1）。到了 2023 年 9 月 7 日，bshare.cn的备案信息也显示为爱点击（北京）数据科技有限公司，此时bshare.cn的 whois 信息也与之相符，这一系列的线索表明，爱点击（北京）数据科技有限公司和擘纳 (上海) 信息科技有限公司之间存在着某种关联。
在 2024 年 10 月 20 日 9 点 16 分 24 秒之前，bshare.cn一直处于有效状态，为众多网站提供着分享插件服务。但直到 2024 年 11 月 23 日，bshare.cn域名的状态突然从 ok 变为了 clientHold 锁定状态。这种状态的转变背后有着多种可能的原因，比如域名注册或续费费用未支付，就像忘记给水电费充值一样，导致服务暂停；未能提供正确的注册信息，使得域名管理出现混乱；违反了注册商的使用条款或政策，触碰了规则的红线；甚至可能涉及法律纠纷或争议，被相关部门介入调查。与此同时，bshare.cn的 ICP 备案也已经过期，最后一次能查到备案信息的时间是在 2023 年 9 月。几乎在同一时间，static.bshare.cn域名的基础组件也更换为了历史上从未出现过的 OpenRestyWeb，这一系列的异常变化，无疑是在向人们宣告，bshare.cn域名的背后正在发生着不寻常的事情。
通过对 passiveDNS 数据的分析，专家们发现，在 2024 年 10 月域名到期前，static.bshare.cn解析的 IP 所属地理位置一直位于大陆，而在被抢注后，解析的 IP 位置却变为了港澳与海外。综合以上种种线索，安全团队判断bshare.cn在 2024 年 10 月 20 日过期后，被不法分子抢注，从此不再属于爱点击（北京）数据科技有限公司。由于域名到期后，那些使用了 bshare 组件的网页并不会自动更新或者删除相关引用代码，就像老旧的设备仍然固执地执行着过去的指令一样，访问这些网页时仍旧会自动请求 hxxp://static [.]bshare.cn/b/bshareC0.js、hxxp://static[.]bshare.cn/b/buttonLite.js。而抢注者在获得bshare.cn域名后，就如同掌握了一把万能钥匙，可以轻松地通过修改这两个 JS 文件的代码，来控制所有引用了 bshare 插件的网页，进而实施各种恶意行为，如推送色情网页、进行钓鱼攻击等。

（三）恶意代码解析

在确定了域名被抢注是网页劫持的根源后，对恶意代码的解析就成为了揭开这场网络攻击神秘面纱的关键一步。恶意的 JavaScript 代码主要隐藏在 bshareCO.js 文件中，而网页组件调用的 buttonLite.js 或者 bshareC0.js 也会进一步加载 bshareCO.js 文件，就像一个隐藏在深处的病毒，通过层层关联，逐渐侵蚀整个网页系统。
经过安全专家们的解混淆处理，这些恶意代码的真实面目逐渐清晰。其主要功能令人触目惊心，首先是对用户进行全方位的监测，就像一双无形的眼睛，时刻盯着用户的一举一动。当监测到用户为安卓用户，并且访问时间点处于晚上 21 点到凌晨 5 点这个特定时段时，就会立即触发色情网页弹窗，实现恶意的推流效果，将用户强行引导至色情网站，试图通过这种方式来获取非法的流量收益。同时，恶意代码还会收集用户的设备和浏览器信息，就像一个信息收集器，将用户的隐私数据尽收囊中，并生成一个唯一的访客 ID，以便对用户进行精准的统计分析，为后续可能的进一步攻击或营销活动提供数据支持。最终，在完成一系列的恶意操作后，将用户的页面跳转到精心设置的色情网页，让用户在毫无防备的情况下陷入到恶意网络环境之中。
这些恶意代码的存在，不仅严重侵犯了用户的隐私和浏览体验，也对网站的声誉和正常运营造成了极大的损害。它们就像网络世界中的毒瘤，隐藏在看似正常的网页代码背后，等待着合适的时机爆发，给用户和网站带来无尽的困扰和风险。

网页劫持造成的危害

（一）对用户的危害

1. 隐私泄露风险：恶意代码就像一个贪婪的小偷，在用户访问被劫持网页时，会悄无声息地收集用户的设备和浏览器信息，包括设备型号、操作系统版本、浏览器类型及版本等。这些信息一旦落入不法分子手中，就可能被用于精准的广告投放，甚至被整合到更大的用户数据池中，用于非法的数据交易，让用户的隐私暴露在危险之中。

2. 遭遇钓鱼诈骗的危机：用户被强行跳转至色情网页或其他恶意网页时，往往会面临钓鱼诈骗的陷阱。这些恶意网页可能会伪装成正规的网站，如银行官网、电商平台等，诱导用户输入账号、密码、银行卡号等敏感信息。一旦用户上当受骗，就会导致个人财产遭受损失，多年的积蓄可能瞬间化为乌有。

3. 被迫访问不良内容的困扰：对于普通用户来说，在正常上网过程中，突然被强制跳转到色情网站，这种体验无疑是极其糟糕的。不仅会影响用户的心情和上网体验，还可能对未成年人的身心健康造成严重的不良影响，让他们过早接触到不适宜的内容，扭曲价值观和认知。

（二）对网站运营者的危害

1. 流量受损与用户流失：当用户频繁遭遇网页劫持，无法正常访问网站内容，或者被强制引导至其他不良网站时，他们很可能会对该网站失去信任和兴趣，转而选择其他竞争对手的网站。这将直接导致网站的流量大幅下降，用户粘性降低，原本积累的用户群体逐渐流失，网站的运营也会陷入困境。

2. 信誉下降与品牌形象受损：网站被劫持后，大量用户遭遇恶意跳转，这一负面事件一旦在网络上传播开来，会迅速影响网站的声誉。用户会认为网站管理不善，安全防护能力不足，从而对网站产生负面评价。这种负面口碑会像病毒一样在网络上扩散，严重损害网站的品牌形象，使网站在用户心中的地位一落千丈，后续想要重新赢得用户的信任，将付出巨大的代价。

3. 被搜索引擎降权的风险：搜索引擎非常重视用户体验和网站的安全性。当发现某个网站存在网页劫持等安全问题时，为了保护用户免受不良影响，搜索引擎往往会对该网站进行降权处理。这意味着网站在搜索结果中的排名会大幅下降，用户更难通过搜索引擎找到该网站，进一步加剧了网站流量的流失和运营的困难。长期来看，甚至可能导致网站在激烈的网络竞争中逐渐被边缘化，失去生存的空间。

应对措施与防范建议

（一）紧急应对措施

1. 立即下线恶意脚本：相关业务团队需争分夺秒，立即对网站进行全面排查，找出所有引用了static.bshare.cn域名的两个 JS 文件，即 hxxp://static [.]bshare.cn/b/bshareC0.js和 hxxp://static [.]bshare.cn/b/buttonLite.js，并果断停止引用。这就好比在发现房屋中有漏电隐患时，第一时间切断电源，防止危险进一步扩大。同时，建议将这些资源替换为来自可信来源的静态资源，比如一些知名的、经过安全验证的 CDN（内容分发网络）服务提供的分享组件。如果暂时找不到合适的替代方案，也可以临时关闭相关的分享功能模块，以确保网站在紧急处理期间的安全性 。

2. 清除浏览器缓存并重启服务：用户在访问网页时，浏览器会缓存一些网页资源，包括 JS 文件等。即使网站端已经停止引用恶意脚本，但如果用户浏览器缓存中仍保留着旧的恶意脚本，依然可能会受到网页劫持的影响。因此，需要引导用户清除浏览器缓存，不同浏览器清除缓存的方式略有不同，一般可以在浏览器的设置选项中找到相关操作入口。对于网站运营者来说，在完成上述操作后，还需要重启网站服务，以确保新的配置和更改能够生效，就像电脑重启后新安装的软件才能正常运行一样，避免因本地缓存导致的持续风险。

（二）长期防范建议

1. 技术层面

• • 使用 HTTPS 协议：HTTPS 协议通过 SSL/TLS 加密技术，对数据进行加密传输，就像给数据穿上了一层坚固的铠甲，防止数据在传输过程中被窃取、篡改。相比 HTTP 协议，HTTPS 具有更高的安全性，可以有效降低网页被劫持的风险。网站运营者应尽快为网站申请 SSL 证书，并将网站升级为 HTTPS 访问。目前，许多云服务提供商都提供了便捷的 SSL 证书申请和配置服务，成本也相对较低，这是提升网站安全性的重要一步。

• • 加强网站安全防护：部署 Web 应用防火墙（WAF），它就像网站的保镖，能够实时监控网站的流量，识别并拦截各种恶意攻击，如 SQL 注入、XSS 跨站脚本攻击等，这些攻击往往是黑客实现网页劫持的常用手段。同时，定期对网站进行安全漏洞扫描，使用专业的安全扫描工具，如 Nessus、OpenVAS 等，及时发现并修复网站存在的安全漏洞，不给黑客留下可乘之机。

2. 管理层面

• • 定期检查插件和域名状态：对于网站所使用的各种插件，包括分享插件、统计插件等，要建立定期检查机制。关注插件的官方动态，及时了解插件是否存在安全漏洞或被弃用的情况。对于像 bshare 插件这样出现问题的插件，要及时更换为更安全可靠的替代品。同时，密切关注网站所使用的域名状态，包括域名的注册信息、到期时间、DNS 解析等，确保域名始终处于正常的管理和控制之下。提前做好域名续费提醒，避免因域名过期而被不法分子抢注。

• • 加强员工安全意识培训：网站的安全不仅仅依赖于技术手段，员工的安全意识同样至关重要。对网站开发、运维、管理等相关人员进行定期的安全培训，让他们了解常见的网络攻击手段和防范方法，提高安全意识。例如，教导员工如何识别钓鱼邮件，避免点击来路不明的链接，防止因员工的疏忽而导致网站安全受到威胁。同时，制定严格的安全管理制度，规范员工的操作行为，确保在网站运营过程中始终遵循安全原则。

总结与警示

bshare 插件网页劫持事件就像一场突如其来的网络风暴，给我们敲响了网络安全的警钟。它让我们深刻认识到，在看似平静的网络世界里，隐藏着无数的风险和挑战。无论是用户还是网站运营者，都不能对网络安全掉以轻心。
对于用户来说，网络安全是我们在虚拟世界中畅游的保护伞。我们要时刻保持警惕，不随意在不可信的网站上输入个人信息，不轻易点击来路不明的链接，定期更新杀毒软件和防火墙，提高自身的安全防范意识。同时，也要学会识别网页劫持等安全风险的迹象，一旦发现异常，及时采取措施保护自己的隐私和财产安全。
对于网站运营者而言，网络安全更是关乎网站生死存亡的关键因素。我们要把网络安全放在首位，建立健全的安全管理制度，加强对网站的安全防护。在选择插件时，要谨慎评估插件的安全性和可靠性，避免使用来源不明或已被弃用的插件。同时，要密切关注插件的官方动态，及时更新插件，修复可能存在的安全漏洞。定期对网站进行安全检测和漏洞扫描，及时发现并解决潜在的安全问题，确保网站的稳定运行和用户数据的安全。
网络安全是一场没有硝烟的战争，需要我们每个人共同努力。让我们从 bshare 插件网页劫持事件中吸取教训，提高网络安全意识，加强安全防范措施，共同营造一个安全、稳定、可信的网络环境。只有这样，我们才能在互联网的浪潮中安心地享受数字时代带来的便利和机遇，让网络真正成为我们生活和工作的得力助手。

关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。