整合營銷服務(wù)商

          電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理

          免費(fèi)咨詢熱線:

          SEO-優(yōu)化網(wǎng)站路徑URL

          SEO-優(yōu)化網(wǎng)站路徑URL

          eo優(yōu)化網(wǎng)站是方方面面的,有許許多多的要素會影響我們網(wǎng)站的排行,查找引擎的抓取,其中有一條十分重要的要素即是網(wǎng)站途徑URL的優(yōu)化,途徑URL是什么呢,它即是你這個網(wǎng)站上面內(nèi)容的每一個連接,一個頁面,一篇文章都別離對應(yīng)著一個URL,而查找引擎蜘蛛爬取你網(wǎng)站的時(shí)分也是通過這一個個URL來進(jìn)行的,所以網(wǎng)站途徑URL的優(yōu)化關(guān)于網(wǎng)站優(yōu)化來說是至關(guān)重要的。

          一、途徑分類

          網(wǎng)站途徑URL有三種動態(tài)途徑、偽靜態(tài)途徑、靜態(tài)途徑,關(guān)于查找引擎現(xiàn)在來說這三種途徑是都能夠辨認(rèn)的,理論上三種途徑都是不影響的。

          1、動態(tài)途徑

          (1)動態(tài)途徑是跟數(shù)據(jù)庫之前連接起來的,頁面要顯示出來要拜訪數(shù)據(jù)庫。假設(shè)當(dāng)用戶拜訪你的網(wǎng)站頁面的時(shí)分,某一些數(shù)據(jù)比如圖片之類的需求從數(shù)據(jù)庫中拿出來,并不是直接在網(wǎng)站的頁面上。

          (2)動態(tài)途徑的辨認(rèn)主要是看連接中是不是呈現(xiàn)”?、&“通常是這種格局”http://主頁地址/?p=545″。

          2、靜態(tài)途徑

          (1)靜態(tài)途徑是一個靜態(tài)的頁面,是一個固定的地址,不需求與數(shù)據(jù)庫打交道,拜訪的數(shù)據(jù)悉數(shù)在頁面上。

          (2)靜態(tài)頁面通常途徑是以”.html”結(jié)束的。通常是”http://主頁地址/xxx.html”

          3、偽靜態(tài)途徑

          偽靜態(tài)途徑是介于靜態(tài)途徑與動態(tài)途徑之間,它通過URL重寫手法,將動態(tài)途徑中的動態(tài)參數(shù)去掉,讓它靜態(tài)化,但實(shí)際上它依然需求從數(shù)據(jù)庫中獲取數(shù)據(jù),所以稱之為偽靜態(tài)路由。

          二、途徑RUL優(yōu)化

          1、途徑長度

          途徑URL不要過長,這個是視覺上的一個作用,要保持在查找引擎查找框中完整的顯示出來。

          2、途徑深度

          (1)途徑深度,查找引擎通過一個節(jié)點(diǎn)連接進(jìn)入你的網(wǎng)站,這是第一個深度,從主頁進(jìn)入到一個導(dǎo)航頁這代表第二個深度,從導(dǎo)航頁進(jìn)入詳情頁代表第三個深度,沒通過一個層次代表一個途徑深度,不斷的添加。

          (2)有關(guān)于互聯(lián)網(wǎng)的數(shù)量來說查找引擎蜘蛛是比較少的,為了節(jié)約查找引擎的抓取時(shí)間,要優(yōu)化途徑深度。假如你連接深度多的話關(guān)于查找引擎的抓取是適當(dāng)晦氣的,由于它也許進(jìn)入你第三個連接深度,就返回了,所以這兒主張我們把連接深度控制在三層以內(nèi)。

          3、途徑中是不是富含中文

          (1)途徑URL中部要富含中文,假如富含中文的話關(guān)于查找引擎錄入是十分晦氣的,假如一篇正常途徑文章錄入需求一星期,那么富含中文途徑的也許需求兩個月。

          (2)當(dāng)把富含中文的途徑輸入查找引擎查找框的時(shí)分URL 中的中文字會被當(dāng)成 Unicode,并用 UTF-8 編碼方法送出,最終是轉(zhuǎn)化成http://主頁地址/%A4%A4%A4%A5.html,帶有百分號的一些組合編碼。

          4、途徑稱號

          (1)途徑稱號不要過長,假如節(jié)目稱號過長能夠運(yùn)用首字母。

          (2)途徑命名要與查找盡量匹配,能夠依據(jù)下拉框、有關(guān)查找命名,比如是打標(biāo)機(jī),我能夠把稱號命名為打標(biāo)機(jī)的拼音。

          5、途徑截取

          (1)途徑截取本來即是查找引擎對你網(wǎng)站途徑的一個反推,從最終一個連接層,一步一步向你的主頁反推,每反推一層會看你的內(nèi)容,假如沒有再去上一層看,知道主頁,假如你的某一層沒有數(shù)據(jù),那么關(guān)于優(yōu)化是十分晦氣的。

          (2)關(guān)于查找引擎的途徑截取能夠縮短你的途徑來處理,把不必要的途徑進(jìn)行結(jié)合,像織夢后臺有文章命名規(guī)則,你能夠去設(shè)定。

          這基本上即是網(wǎng)站途徑URL優(yōu)化的操作方法了,這兒有一點(diǎn)需求我們留意的事,途徑URL的修正是要在上線前完結(jié)的,由于上線以后在修正的話會發(fā)生死連接,當(dāng)然假如你一定要修正的話,那么就只有把這些前面的連接進(jìn)行robots屏蔽掉。

          . 網(wǎng)站結(jié)構(gòu)

          對于搜索引擎優(yōu)化,網(wǎng)站的結(jié)構(gòu)是最重要的因素之一。網(wǎng)站結(jié)構(gòu)是所有關(guān)于你的網(wǎng)頁是如何聯(lián)系在一起。搜索引擎爬蟲的基礎(chǔ)上它的設(shè)置方式判斷你的網(wǎng)站的價(jià)值。文件層次結(jié)構(gòu)和站點(diǎn)地圖起到無論是否獲得高排名第至關(guān)重要的作用。

          如果你想受到廣大用戶尋找你相關(guān)的關(guān)鍵字可以找到,你的網(wǎng)站需要邏輯布局,易于抓取速度更快。請記住,如果機(jī)器人是快樂的,每個人都會快樂。

          2. 易于導(dǎo)航

          對搜索引擎優(yōu)化感興趣的網(wǎng)頁設(shè)計(jì)師,導(dǎo)航一定是最優(yōu)先考慮的任何。對于導(dǎo)航,淺越好。帶著淺淺的架構(gòu),用戶可以訪問任何網(wǎng)頁中的幾個環(huán)節(jié)盡可能。這也指回網(wǎng)站的架構(gòu)。當(dāng)談到導(dǎo)航,不要試圖重新發(fā)明輪子。使之簡單,使其短路(八個選項(xiàng)或更少) ,并使它可用。

          3. Meta 描述

          即使你不熟悉這個術(shù)語,你肯定知道它是什么。meta 描述提供了你的網(wǎng)頁是關(guān)于什么的概述的小片段。在您的網(wǎng)站的每個頁面都會有meta描述。這些描述是160個字符或更少。meta 描述是你要吸引訪問者點(diǎn)擊你的鏈接絕佳機(jī)會。這也是一種方式來獲得注意到您的關(guān)鍵字,因?yàn)楣雀钂呙韬土咙c(diǎn)在你的 meta 描述用戶搜索的關(guān)鍵字。

          4. 內(nèi)容

          搜索引擎喜歡內(nèi)容更多的文章,當(dāng)然最好是原創(chuàng)。如果你有一個博客(我強(qiáng)烈推薦) ,重要的是要考慮到工藝,將帶來價(jià)值,你的網(wǎng)站內(nèi)容的時(shí)間。如果你不是一個作家更是一個設(shè)計(jì)師,可以找人幫助你。

          5. 圖片優(yōu)化

          如果你不花時(shí)間來命名你的圖片,你失去寶貴的搜索引擎優(yōu)化。想想這將是多么偉大的是重命名按照同樣的圖像是什么 - 例如 smithers-web-design-mock-up.jpg。不僅是你清楚地解釋顯示的是什么圖像,你也最大限度地提高您的關(guān)鍵字。

          6. 優(yōu)化 URL

          說到連接符,請確保你優(yōu)化你的網(wǎng)址與復(fù)姓關(guān)鍵字。例如,如果你的博客文章是關(guān)于白帽 SEO ,你的網(wǎng)址應(yīng)該是www.yoursite.com/white-hat-seo。請記住你的目標(biāo)關(guān)鍵詞,并用它在你的博客文章的標(biāo)題,以及在你的博客文章的網(wǎng)址。這是另一種方式來優(yōu)化您的網(wǎng)站。

          7. 內(nèi)鏈的絕對路徑

          這個技巧雖然簡單但很有用,有兩種類型的連接:

          • 絕對路徑:例如,<a href=&rdquo;www.yoursite.com&rdquo;>

          • 相對路徑:例如,<a href=&rdquo;/home.html&rdquo;>

          如果你正在使用相對路徑,建議換成絕對路徑,因?yàn)榭梢詼p少服務(wù)器的響應(yīng)時(shí)間。

          8. 網(wǎng)站速度

          研究表明,如果網(wǎng)站加載超過3秒鐘,40%的訪客會放棄。因此,即使你的網(wǎng)站采用了超酷的設(shè)計(jì),但如果新的游客幾乎有一半不圍著看它,那有什么用呢?

          速度慢也會對搜索引擎優(yōu)化造成負(fù)面影響。自2010年以來,谷歌已經(jīng)明確承認(rèn),加載速度是由他們來決定你的網(wǎng)頁排名的方法之一。雖然我們不是什么搜索引擎機(jī)器人如何評價(jià)快慢,但我們知道它有一個邏輯的網(wǎng)站結(jié)構(gòu)優(yōu)化的后端是非常重要的。

          9. 豐富的片段

          類似 meta 描述,豐富的片段顯示在搜索結(jié)果頁面。當(dāng)你搜索&ldquo;samsung top load washer,&rdquo; 你會注意到有些網(wǎng)站提供了評分、訪問量和價(jià)格。此信息提供給搜索引擎,會增加你的搜索流量,因?yàn)樗芤鹱⒁狻3诉@些片段,一個令人興奮的選項(xiàng)包括產(chǎn)品的圖片或視頻作為營銷在搜索引擎結(jié)果頁的一部分。你可以通過調(diào)整你的 meta 描述具有豐富的片段利用視覺營銷。

          60互聯(lián)網(wǎng)安全中心監(jiān)測到一種利用被入侵服務(wù)器進(jìn)行門羅幣挖礦的僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)控制的服務(wù)器數(shù)量高峰時(shí)單日達(dá)到兩萬多臺。僵尸網(wǎng)絡(luò)建立初期利用&ldquo;永恒之藍(lán)&rdquo;漏洞攻擊武器入侵一定數(shù)量的計(jì)算機(jī)并以此作為僵尸網(wǎng)絡(luò)發(fā)展的基礎(chǔ),之后這些計(jì)算機(jī)掃描其他計(jì)算機(jī)的1433端口(msSQL服務(wù)端口),嘗試爆破目標(biāo)計(jì)算機(jī)的msSQL服務(wù),一旦爆破成功則登陸SQL Server執(zhí)行惡意代碼。目標(biāo)計(jì)算機(jī)被僵尸網(wǎng)絡(luò)控制之后同樣會通過1433端口入侵其他計(jì)算機(jī),僵尸網(wǎng)絡(luò)因此不斷擴(kuò)大控制范圍,最終形成現(xiàn)在這樣的規(guī)模。

          僵尸網(wǎng)絡(luò)的蔓延離不開強(qiáng)大的Bot程序,通過代碼同源性可以發(fā)現(xiàn)該家族的Bot程序的誕生最早可追溯到2014年。在2014年到2017年之間, Bot程序進(jìn)行多次版本更新,最早的版本只是簡單的入侵與遠(yuǎn)程控制,從2017年4月的版本開始, Bot程序借鑒多款掃描器、爆破工具以及著名僵尸網(wǎng)絡(luò)mirai的實(shí)現(xiàn),添加了多種針對不同協(xié)議的掃描爆破模塊,并且實(shí)現(xiàn)了一套針對msSQL的&ldquo;入侵+利用+傳播&rdquo;的攻擊模塊。Bot程序版本更替及傳播量如下圖所示。(圖示中xx.x.x.x.x(x)表示的是Bot程序的版本,例如17.1.0.0.2(1)表示2017年編譯的1.0.0.2版本的Bot程序變種1)

          圖1-1 Bot程序版本更替及感染量概覽圖

          從圖1-1中可以看出,Bot程序自4月底開始傳播量開始出現(xiàn)爆發(fā)式增長,這正是作者利用&ldquo;永恒之藍(lán)&rdquo;漏洞攻擊武器進(jìn)行僵尸網(wǎng)絡(luò)建立的時(shí)間段。此外,Bot程序有一套完善的更新體系,當(dāng)Bot程序檢測到有新版本發(fā)布之后,將自動更新至最新版本。從圖1種也不難看出,新版本傳播量增加之后,老版本的傳播量也相應(yīng)地下降。

          Bot程序當(dāng)前的主要目的是安裝門羅幣挖礦機(jī),利用服務(wù)器資源挖礦。截止目前,作者的門羅幣錢包已經(jīng)有高達(dá)1975枚門羅幣,當(dāng)前約合人民幣167萬。

          圖1-2 作者門羅幣錢包概況

          Bot程序高度模塊化,集合了多種不同的功能,并且具有完善的更新和持久駐留機(jī)制。

          對Bot程序的分析將有助于了解該僵尸網(wǎng)絡(luò)的傳播機(jī)制。本文將通過對Bot程序的詳細(xì)分析,挖掘該僵尸網(wǎng)絡(luò)的工作原理,并據(jù)此討論服務(wù)器在面對該僵尸網(wǎng)絡(luò)時(shí)所需的預(yù)防措施以及防御策略。

          Bot程序由main模塊,update模塊,Scanner模塊,Cracker模塊,ServerAgent模塊和cService模塊6個模塊構(gòu)成,模塊之間互有聯(lián)系,相互協(xié)作。以下將對每個模塊執(zhí)行的功能進(jìn)行分析。

          1. main模塊分析

          Bot程序是以控制臺形式存在的,在介紹main模塊之前先介紹Bot程序所接收的啟動參數(shù)以及參數(shù)對應(yīng)的功能。

          這些啟動參數(shù)滿足以下幾條規(guī)則:

          1.當(dāng)存在&ldquo;-start&rdquo;,&ldquo;-stop&rdquo;,&ldquo;-create&rdquo;和&ldquo;-delete&rdquo;中的多個時(shí),只有第一個參數(shù)是有效的,因此作者引入&ldquo;-run&rdquo;參數(shù)配合&ldquo;-create&rdquo;參數(shù)以完成創(chuàng)建服務(wù)并啟動服務(wù)的操作。

          2.&ldquo;-delete&rdquo;參數(shù)在刪除Bot服務(wù)之前會關(guān)閉該服務(wù)。

          3.當(dāng)未指定&ldquo;-syn&rdquo;參數(shù)時(shí)默認(rèn)掃描器為TCP_CONNECT模式。

          4.當(dāng)同時(shí)存在&ldquo;-srv&rdquo;和&ldquo;-cli&rdquo;時(shí)只有第一個參數(shù)是是有效的,兩者都不存在時(shí)默認(rèn)為&ldquo;-srv&rdquo;。

          5.當(dāng)程序啟動參數(shù)包含&ldquo;-s&rdquo;時(shí),將以服務(wù)形式執(zhí)行main模塊,否則以控制臺形式執(zhí)行main模塊。

          main模塊主要是進(jìn)行一些準(zhǔn)備工作以及配置并啟用其他模塊。在程序準(zhǔn)備工作方面,主要包括以下幾部分。

          (1)獲取系統(tǒng)信息。

          圖2-1-1 獲取系統(tǒng)信息

          (2)判斷系統(tǒng)類型是否為Server。

          圖2-1-2 判斷系統(tǒng)類型

          (3)結(jié)束并禁用Network list Service和Network Location Awareness。Network list Service用于識別計(jì)算機(jī)已連接的網(wǎng)絡(luò),收集和存儲這些網(wǎng)絡(luò)的屬性,并在更改這些屬性時(shí)通知應(yīng)用程序;Network Location Awareness用于收集并保存網(wǎng)絡(luò)配置和位置信息,并在信息改動時(shí)通知應(yīng)用程序。Bot程序關(guān)閉并禁用這些服務(wù)以防止自身的網(wǎng)絡(luò)通信被記錄。

          圖2-1-3 結(jié)束并禁用Network list Service和Network Location Awareness

          (4)結(jié)束并禁用SharedAccess和MpsSvc(Intemet連接共享和防火墻服務(wù))以保障Bot程序的網(wǎng)絡(luò)通信能夠正常進(jìn)行,并且刪除日志文件。

          圖2-1-4結(jié)束并禁用SharedAccess和MpsSvc

          完成初始化工作之后,main模塊將創(chuàng)建新線程執(zhí)行update模塊。update模塊檢查Bot程序版本并根據(jù)情況進(jìn)行更新。同時(shí),main模塊還作為Scanner模塊,Cracker模塊和ServerAgent模塊的入口。

          update模塊是Bot程序進(jìn)行自更新的模塊。當(dāng)程序執(zhí)行main模塊時(shí),將創(chuàng)建線程執(zhí)行update模塊進(jìn)行版本檢查及必要的更新。update模塊每6小時(shí)進(jìn)行一次更新檢查。

          圖2-2-1 創(chuàng)建線程執(zhí)行update模塊

          圖2-2-2 調(diào)用Sleep函數(shù)以定期執(zhí)行update模塊

          進(jìn)行更新檢查時(shí),update模塊首先獲取程序當(dāng)前的版本號,之后通過博客地址&ldquo;http://blog.sina.com.cn/s/blog_16fb721c50102x6hw.html&rdquo;獲得加密后的C&C的ip地址。將加密后的ip地址去除首尾的分隔符(***和@@@),經(jīng)過base64解密并與0x36異或之后得到真實(shí)的ip地址(在本樣本中,C&C ip地址為67.229.144.218,以下簡稱為&ldquo;ip&rdquo;)。

          圖2-2-3 博客中加密的ip地址

          http://ip:8888/ver.txt中存放最新的Bot程序版本號,update模塊讀取該版本號并與當(dāng)前Bot程序的版本號進(jìn)行對比。當(dāng)兩者相同時(shí),則認(rèn)為程序已經(jīng)更新到最新版本,繼續(xù)執(zhí)行后續(xù)功能;當(dāng)兩者不同時(shí),則對程序進(jìn)行更新。

          圖2-2-4 對比Bot程序版本和最新版本號

          圖2-2-5 最新的版本號

          若Bot程序未更新到最新版本,則進(jìn)行更新。最新版本的Bot程序通過路徑C://windows/system下的更新程序cabs.exe獲取。若cabs.exe不存在,則Bot程序?qū)膆ttp://ip:8888/ups.rar下載cab.exe,并啟動該程序進(jìn)行更新。

          圖2-2-5 下載更新程序cab.exe并啟動更新

          cabs.exe會判斷當(dāng)前計(jì)算機(jī)系統(tǒng)是否為Windows Server,只有當(dāng)當(dāng)前計(jì)算機(jī)系統(tǒng)為Windows Server時(shí)才會執(zhí)行更新。

          圖2-2-6 判斷當(dāng)前系統(tǒng)是否為Windows Server

          如果當(dāng)前計(jì)算機(jī)系統(tǒng)為Windows Server,則訪問http://ip:8888/update.txt獲取最新的下載列表,并將下載列表下載到c:\windows\system路徑下,命名為upslist.txt。

          圖2-2-7 下載下載列表

          下載列表中包含兩個文件ps.jpg和my1.html。

          圖2-2-8 下載列表內(nèi)容

          ps.jpg是末尾拼接了一個PE文件的圖片。該P(yáng)E文件就是最新版本的Bot程序。

          圖2-2-9 藏有最新版本Bot程序的圖片

          圖2-2-10 圖片中監(jiān)測到的PE文件特征

          my1.html是一個批處理腳本,功能與Cracker:mssql模塊釋放的批處理腳本123.dat基本相同,主要是創(chuàng)建一些需要的文件夾并為之后Cracker模塊配置環(huán)境。

          完成下載之后,cabs.exe會結(jié)束Bot程序的進(jìn)程和服務(wù),更新相關(guān)文件之后再重啟Bot進(jìn)程和服務(wù)。

          scanner模塊修改自masscan(github:https://github.com/robertdavidgraham/masscan)。masscan是一個快速、靈活的端口掃描器,在windows下發(fā)包速度可達(dá)到每秒30萬包。

          在調(diào)用scanner模塊進(jìn)行掃描之前,Bot程序會配置一個excludefile,該文件指定ip段黑名單,在該范圍中的ip地址將不會被掃描。ip黑名單以字符串的形式存放在Bot程序的資源段中,scanner模塊在臨時(shí)文件夾下創(chuàng)建excludefile,讀取資源后將ip黑名單寫入excludefile。

          圖2-3-1 讀取ip黑名單資源并寫入excludefile

          在Bot程序2017年四月份編譯的1.0.0.2版本和五月份編譯的1.0.0.3版本的其中一個變種中未發(fā)現(xiàn)ip黑名單,在五月份編譯的1.0.0.3版本的另一個變種中發(fā)現(xiàn)了ip黑名單。

          圖2-3-2 存放在Bot程序資源段中的ip黑名單

          對于每一個a類ip,scaner模塊排除掉部分b段。由于全網(wǎng)掃描容易遭到監(jiān)控,通過排除部分ip地址可以減少被發(fā)現(xiàn)的風(fēng)險(xiǎn)。

          圖2-3-3 scanner模塊排除部分ip地址后掃描全網(wǎng)

          scanner模塊能夠掃描的端口包括1433端口,3306端口,135端口,22端口,445端口,23端口,80端口和3389端口。

          圖2-3-4 部分scanner模塊掃描的端口

          scanner模塊可通過兩種模式進(jìn)行端口掃描,分別是TCP_SYN掃描和TCP_CONNECT掃描。使用何種掃描模式由參數(shù)&ldquo;-syn&rdquo;決定,如果啟動參數(shù)包含&ldquo;-syn&rdquo;則選擇使用TCP_SYN模式進(jìn)行端口掃描,否則選擇TCP_CONNECT模式進(jìn)行端口掃描。當(dāng)選擇TCP_SYN模式進(jìn)行端口掃描時(shí),Bot程序只發(fā)送SYN幀,端口開放回應(yīng)SYN&ACK幀,端口關(guān)閉回應(yīng)RST幀,;當(dāng)選擇TCP_CONNECT模式進(jìn)行端口掃描時(shí),Bot程序嘗試連接目標(biāo)端口,端口開放則連接成功,否則連接失敗。

          Scanner模塊創(chuàng)建的最大掃描線程數(shù)由&ldquo;-t&rdquo;參數(shù)決定,&ldquo;-t&rdquo;的最大值為1800。在scanner模塊創(chuàng)建掃描線程的同時(shí)會同時(shí)創(chuàng)建名為&ldquo;CrackerWMI&rdquo;的線程,但是在Bot程序發(fā)送的數(shù)據(jù)包中并未發(fā)現(xiàn)目的端口為135(wmi服務(wù)使用的端口)的數(shù)據(jù)包,推測可能是作者預(yù)留的尚未完善的功能。

          圖2-3-5 兩種不同的掃描模式

          scanner模塊會記錄開放特定端口的ip地址,并且與ServerAgent模塊和Cracker模塊進(jìn)行交互完成&ldquo;端口掃描+爆破+入侵&rdquo;一系列工作。

          2. ServerAgent模塊分析

          ServerAgent模塊由兩部分功能組成。一是向C&C發(fā)送掃描結(jié)果;二是對端口掃描和爆破進(jìn)行相應(yīng)的配置工作。

          ServerAgent模塊在scanner模塊掃描過程中連接C&C。當(dāng)scanner模塊掃描到開放的端口之后,ServerAgent模塊將把對應(yīng)的ip地址和端口號發(fā)送至C&C。

          圖2-4-1 ServerAgent模塊連接C&C

          此外,ServerAgent模塊下載密碼字典并為Cracker模塊配置密碼字典,當(dāng)scanner模塊掃描到某ip地址的特定端口為開放狀態(tài)時(shí),將通過該字典進(jìn)行爆破。字典的下載地址為http://ip:8888/wpd.dat,當(dāng)下載完成之后,ServerAgent模塊將從http://ip:8888/wpdmd5.txt獲取正確的密碼字典的MD5值并與下載的字典wpd.dat的MD5值進(jìn)行對比以確定下載文件的正確性。下載的密碼字典wpd.dat是經(jīng)過加密的,ServerAgent模塊讀取密鑰&ldquo;cm9vdCpwd2Q=&rdquo;,對密鑰進(jìn)行base64解密后,使用其解密wpt.dat。解密后的wpd.dat部分內(nèi)容如下圖所示。

          圖2-4-2 密碼字典的部分內(nèi)容

          wpd.dat實(shí)際上是一個xml文件,里面包含mysql,mssql,telnet,wmi,ssh,rdp的密碼字典以及不同的入侵方式執(zhí)行的shell。此外,wpd.dat中存在一個名為ports的鍵,當(dāng)該鍵的某個子健鍵值為1時(shí),ServerAgent模塊將配置scanner模塊使其掃描該子鍵對應(yīng)的端口。

          圖2-4-3 ports鍵概覽

          在默認(rèn)的wpd.dat中,只有mssql子鍵的值設(shè)為1,因此scanner模塊只掃描mssql服務(wù)對應(yīng)的端口(端口號1433)。黑客可以通過配置wpd.dat文件增加、減少、修改掃描端口的數(shù)目和類別。

          圖2-4-4 從抓包數(shù)據(jù)發(fā)現(xiàn)Bot程序只掃描1433端口

          有趣的是,ServerAgent模塊選擇隨機(jī)的ip段作為每一輪掃描的ip范圍,這和mirai僵尸網(wǎng)絡(luò)的做法十分相似。如下所示,get_random_ip函數(shù)生成的隨機(jī)ip段為220.176.171.93~220.182.171.87,因此本輪掃描中scanner模塊對該ip段進(jìn)行掃描。

          圖2-4-5 ServerAgent模塊計(jì)算并選取隨機(jī)ip段

          圖2-4-6 測試中生成的隨機(jī)ip段

          圖2-4-7 從抓包數(shù)據(jù)中發(fā)現(xiàn)此輪掃描中Bot程序掃描其隨機(jī)生成的ip段

          3. Cracker模塊分析

          Cracker模塊是Bot程序中最重要的模塊。該模塊用于入侵目標(biāo)計(jì)算機(jī)并在目標(biāo)計(jì)算機(jī)上執(zhí)行惡意代碼。Cracker模塊分為多個小模塊,在分析的樣本中包括Cracker:CCTV,Cracker:mssql, Cracker:RDP,Cracker:Telnet四個小模塊。按照入侵的端口的不同,Cracker模塊提供不同的攻擊方式。下面將介紹每一種攻擊的實(shí)現(xiàn)。

          5.1 Cracker:mssql

          由于Bot程序默認(rèn)的密碼字典wpd.dat中指定掃描的服務(wù)為msSQL,因此Cracker:mssql模塊是所有Cracker模塊中功能最為完善的。在大部分被感染的服務(wù)器的msSQL服務(wù)中都可以發(fā)現(xiàn)該模塊所執(zhí)行的惡意動作。

          Cracker:mssql模塊首先使用爆破字典爆破目標(biāo)的msSQL服務(wù)。如果成功爆破目標(biāo),則登陸SQL Server執(zhí)行下一步操作。

          登陸SQL Server之后,需要在SQL Server中獲得執(zhí)行shell的權(quán)限,因此Cracker:mssql模塊使用多種方式嘗試獲得執(zhí)行shell的權(quán)限,包括:

          1. 恢復(fù)xp_cmdshell。

          圖2-5-1 恢復(fù)xp_cmdshell

          2. 開啟被禁止的xp_cmdshell。

          圖2-5-2 開啟xp_cmdshell

          3. xp_cmdshell被刪除后,使用SP_OACreate執(zhí)行shell。

          圖2-5-3 使用SP_OACreate執(zhí)行shell

          4. 開啟CLR enabled選項(xiàng),使用SQL Server CLR執(zhí)行shell。

          圖2-5-4 開啟CLR enabled選項(xiàng)

          5. 注冊regsvr32.dll執(zhí)行遠(yuǎn)端代碼所需的組件,使用regsvr32.dll執(zhí)行shell。

          圖2-5-5 注冊相關(guān)組件

          6. 通過沙盒執(zhí)行shell。

          圖2-5-6 通過沙盒執(zhí)行shell

          7. 開啟SQL Agent服務(wù),使用SQL Agent服務(wù)執(zhí)行shell。

          圖2-5-7 開啟SQL Agent服務(wù)

          Cracker:mssql模塊所執(zhí)行的主要功能主要包括以下幾方面:

          1. 在c:\windows\system32\wbem下創(chuàng)建批處理文件123.dat,并在該文件中寫入內(nèi)容。

          圖2-5-8 創(chuàng)建123.bat

          該批處理文件執(zhí)行的功能包括對一些程序運(yùn)行所涉及到的文件和文件夾進(jìn)行權(quán)限設(shè)置;使用regsvr32.dll執(zhí)行遠(yuǎn)端代碼;判斷是否存在item.dat,若存在則調(diào)用rundll32執(zhí)行該程序。item.dat是修改自PCShare(github:https://github.com/isuhao/pcshare)的遠(yuǎn)程控制程序,C&C通過item.dat控制Bot。

          2. 創(chuàng)建文件PerfStringse.ini,并在該文件中寫入內(nèi)容。

          圖2-5-9 創(chuàng)建PerfStringse.ini

          該文件是個組策略模板文件,主要是禁止一些涉及到的文件的訪問權(quán)限。在創(chuàng)建該模板文件之后調(diào)用secedit.exe配置組策略。

          圖2-5-10 調(diào)用secedit.exe配置組策略

          3. 在c:\windows\system下創(chuàng)建文件myusa.dvr,并在文件中寫入內(nèi)容。

          圖2-5-11 創(chuàng)建myusa.dvr

          myusa.dvr是個ftp下載腳本,主要功能是從down.mys2016.info下載文件1.dat到本地c:\windows\system路徑下,命名為myusago.dvr;下載1.bat到本地c:\windows\system路徑下,命名為backs.bat。

          myusago.dvr也是個ftp下載腳本,從down.mys2016.info下載多個文件到本地;backs.bat用于記錄系統(tǒng)時(shí)間并寫入1.txt中。

          圖2-5-12 myusago.dvr內(nèi)容

          下載的文件中,item.dat是C&C用于控制Bot的遠(yuǎn)程控制軟件;ms.rar實(shí)際上就是Bot程序的更新程序cab.exe;ss.bat和Cracker:mssql模塊釋放的123.bat是同一個文件;未找到op7key.rar文件,猜測與爆破字典類似。

          從myusago.dvr下載的文件不難看出,Bot程序除了執(zhí)行Cracker:mssql模塊中硬編碼的惡意代碼之外,還通過云端下載相應(yīng)的惡意程序,這保障與Bot程序相關(guān)聯(lián)的惡意代碼能夠持續(xù)駐留。在分析的過程中我們發(fā)現(xiàn),用于進(jìn)行環(huán)境配置和程序運(yùn)行控制的123.bat批處理腳本是更新最為頻繁的,從2017年4月份起更新次數(shù)超過了10次。

          myusago.dvr和myusa.dvr將作為ftp的參數(shù)寫入命令行中并加入SQL Agent的Job中,每天執(zhí)行一次。

          4. 將Bot程序加入SQL Agent的job中,并附帶參數(shù)&ldquo;-syn 1000&rdquo;。每次SQL Agent啟動時(shí)Bot程序也將啟動。

          圖2-5-13 將Bot程序加入SQL Agent的Job中

          5. 以Job的形式每20分鐘運(yùn)行一次C:\Progra~1\mainsoft\install.exe。該程序是一個掛機(jī)賺分軟件。

          圖2-5-14 以Job形式執(zhí)行install.exe

          6. 以Job的形式每20分鐘執(zhí)行C:\windows\debug,C:\Progra~1\shengda和C:\Progra~1\kugou2010路徑下的所有exe。從我們的監(jiān)控中發(fā)現(xiàn),Bot程序所釋放的挖礦機(jī)以及能給黑客帶來直接收益的程序都存在于這幾個路徑中,黑客通過定時(shí)啟動這些程序保證收益的源源不斷。

          圖2-5-15 定時(shí)執(zhí)行C:\windows\debug下的exe

          圖2-5-16 定時(shí)執(zhí)行C:\Progra~1\shengda下的exe

          圖2-5-17 定時(shí)執(zhí)行C:\Progra~1\kugou2010下的exe

          7. 創(chuàng)建ftp下載腳本msinfo.dat,該腳本從down.mys2016.info下載文件到C:\windows\debug路徑下,并命名為bss.exe。之后通過批處理腳本msinfo.bat調(diào)用ftp執(zhí)行下載腳本,下載完成后啟動bss.exe,并刪除這兩個腳本。bss.exe疑似是個遠(yuǎn)控木馬。

          圖2-5-18 msinfo.dat內(nèi)容

          圖2-5-19 msinfo.bat內(nèi)容

          8. 將item.dat和123.bat加入啟動項(xiàng)中。

          圖2-5-20 將item.dat加入啟動項(xiàng)中

          圖2-5-21 將123.bat加入啟動項(xiàng)中

          9. 確定權(quán)限允許之后,刪除SQL用戶,并設(shè)置SQL SA(超級管理員)帳戶及密碼,同時(shí)添加多個SQL帳戶。完成這步操作之后,黑客正式接管該計(jì)算機(jī)的SQL Server,管理員無法再通過之前的帳戶登錄SQL Server。

          圖2-5-22 添加SQL SA

          Cracker:mssql模塊還通過SQL Server執(zhí)行多段shellcode,大部分的shellcode都以SQL Agent的Job形式存在并定期執(zhí)行。

          第一段shellcode使用wmi中的ActiveScriptEventConsumer類執(zhí)行腳本代碼。該腳本讀取http://www.cyg2016.xyz:8888/test.html網(wǎng)頁內(nèi)容,并根據(jù)網(wǎng)頁內(nèi)容獲取第二組網(wǎng)址,下載文件并執(zhí)行。

          圖2-5-23 第一段shellcode內(nèi)容

          下載的文件包括更新程序cabs.exe和挖礦機(jī)lsmosee.exe。挖礦機(jī)修改自xmr-stak(github:https://github.com/fireice-uk/xmr-stak-cpu),以32位形式編譯,作者在此挖礦機(jī)中添加了一個模塊,當(dāng)需要64位挖礦機(jī)時(shí),該模塊將從C&C下載64位的挖礦機(jī)lsmose.exe到本地執(zhí)行。本樣本中,32位挖礦機(jī)的路徑為&ldquo;C:\windows\help&rdquo;,而64位挖礦機(jī)的路徑修改為&ldquo;C:\windows\debug&rdquo;。由于作者添加了SQL Agent的Job,使&ldquo;C:\windows\debug&rdquo;路徑下的exe文件每20分鐘執(zhí)行一次,猜測作者將挖礦機(jī)保存到此目錄下是為了保證挖礦機(jī)能夠穩(wěn)定運(yùn)行。

          圖2-5-24 下載挖礦機(jī)和更新程序

          第二段shellcode使用js腳本執(zhí)行惡意代碼,腳本功能與第一段shellcode中的jscript代碼相同。

          圖2-5-25 第二段shellcode內(nèi)容

          第三段shellcode同樣使用wmi腳本執(zhí)行jscript代碼,所執(zhí)行的功能與創(chuàng)建的批處理文件123.bat的功能相同,猜測作者此舉為了防止文件123.bat被殺毒軟件清除而執(zhí)行的備用方案。

          圖2-5-26 第三段shellcode內(nèi)容

          第四段shellcode是第三段shellcode的js版本。不難發(fā)現(xiàn),作者對于每段shellcode都準(zhǔn)備了wmi和js兩種版本,以確保腳本執(zhí)行的穩(wěn)定性。

          圖2-5-27 第四段shellcode內(nèi)容

          第五段shellcode通過恢復(fù)cmdshell,恢復(fù)SP_OACreate等方式保證能通過SQL Server執(zhí)行shell,猜測作者通過Job定期執(zhí)行這段shellcode以保證shell能長期存活。

          圖2-5-28 第五段shellcode內(nèi)容

          第六段shellcode刪除C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5路徑下的文件。由于下載文件時(shí)都會在該目錄下留下對應(yīng)的tmp文件,作者此舉是為了防止用戶通過該目錄發(fā)現(xiàn)可疑文件,可見作者對痕跡的清理十分細(xì)心。

          圖2-5-29 第六段shellcode內(nèi)容

          第七段shellcode使用js腳本訪問http://www.cyg2016.xyz:8888/kill.html,該頁面是個文件名列表。腳本搜尋系統(tǒng)中是否存在與該頁面返回的文件名相同的文件,若存在則結(jié)束對應(yīng)進(jìn)程并將文件刪除。這些文件大多數(shù)是一些其他入侵者釋放的挖礦機(jī)。

          圖2-5-30 第七段shellcode內(nèi)容

          透過這些文件名我們發(fā)現(xiàn)了一個有趣的現(xiàn)象,在被刪除的文件中包含了一些和Bot程序釋放的挖礦機(jī)文件名十分相似的文件,例如C:\windows\debug\lsmosee.exe(Bot程序釋放的挖礦機(jī)是c:\windows\help\lsmosee.exe和C:\windows\debug\lsmose.exe)。是作者通過這樣的方式進(jìn)行更新,淘汰舊的挖礦機(jī),還是其他入侵者利用Bot程序定時(shí)執(zhí)行C:\windows\debug路徑下程序的特性坐收漁翁之利就不得而知了。

          圖2-5-31 待刪除文件列表

          第八段shellcode將123.bat加入啟動項(xiàng)中,此處不再贅述。

          第九段shellcode從http://down.mys2016.info:280下載文件到C:\WINDOWS路徑下,并命名為ps.exe。ps.exe實(shí)際上是PsExec,一款強(qiáng)大的遠(yuǎn)程執(zhí)行工具,黑客在每臺入侵的計(jì)算中部署該工具,使每臺計(jì)算機(jī)成為一個控制端,方便構(gòu)建一個龐大的僵尸網(wǎng)絡(luò)。

          圖2-5-32 第九段shellcode內(nèi)容

          第十段shellcode主要是完成SQL提權(quán)的一系列操作。

          圖2-5-33 第十段shellcode內(nèi)容

          第十一段shellcode是利用SQL Server CLR執(zhí)行shell的payload,從payload中可以發(fā)現(xiàn)其訪問http://www.cyg2016.xyz:8888/clr.txt并執(zhí)行該頁面中返回的內(nèi)容。

          圖2-5-34 payload的部分內(nèi)容

          該頁面和http://www.cyg2016.xyz:8888/test.html一致,即下載更新程序和挖礦機(jī)到計(jì)算機(jī)中并運(yùn)行。

          Cracker:mssql模塊完成了Bot程序幾乎所有要完成的功能,包括更新、挖礦、清除同類程序、定時(shí)任務(wù)以及SQL Server管理員賬戶的設(shè)置。由于作者目前的密碼字典中將mssql作為唯一攻擊目標(biāo),因此Cracker:mssql模塊如此完善也是可以理解的。若之后作者開啟了其他攻擊方式,其他的Cracker模塊也將變得更加完善。

          5.2 Cracker:Telnet

          Cracker:Telnet模塊是除了Cracker:mssql模塊之外較為完善的一個模塊。作者充分利用mirai僵尸網(wǎng)絡(luò)的優(yōu)點(diǎn)構(gòu)建了一套類似于mirai的Telnet入侵模塊。

          在執(zhí)行Cracker:Telnet模塊之前,Bot程序在ServerAgent模塊中配置Telnet入侵攻擊的payload。ServerAgent模塊會根據(jù)不同的平臺架構(gòu)從資源段中讀取payload并將其轉(zhuǎn)化為十六進(jìn)制字節(jié)碼的形式。

          圖2-5-35 從資源段讀取payload

          在payload中我們發(fā)現(xiàn)一些mirai相關(guān)的標(biāo)識,通過對比發(fā)現(xiàn)Bot程序所使用的payload就是mirai僵尸網(wǎng)絡(luò)的payload(github:https://github.com/jgamblin/Mirai-Source-Code/tree/master/loader/bins),這些payload適用于不同的平臺架構(gòu)(arm,arm7,m68k,mips,mpsl,ppc,sh4,spc,x86)。

          圖2-5-36 payload中mirai的相關(guān)標(biāo)識

          除了payload與mirai相同之外,Cracker:Telnet模塊也基本修改自mirai源碼,包含密碼爆破功能和入侵功能。

          圖2-5-37 Cracker:Telnet模塊中的mirai特征

          mirai在通過Telnet入侵之前會配置一個ip地址用于作為report服務(wù)器地址,用于返回掃描結(jié)果,在分析中我們也發(fā)現(xiàn)了一個疑似report服務(wù)器ip地址。如果Bot程序的啟動參數(shù)中包含&ldquo;-srv&rdquo;,則ServerAgent模塊會從密碼字典中讀取名為telnetip的子鍵的鍵值,該鍵值是個ip地址,之后被傳入Cracker:Telnet模塊中。如果啟動參數(shù)中包含&ldquo;-cli&rdquo;,Bot程序會從當(dāng)前目錄下的wpdconfig.ini文件中讀取ip地址。

          圖2-5-38 密碼字典中的report服務(wù)器地址

          由于Cracker:Telnet模塊與mirai相差無幾,在此不再贅述,感興趣的讀者可以查看mirai源碼(github:https://github.com/jgamblin/Mirai-Source-Code)。

          5.3 Cracker:RDP

          Cracker:RDP模塊修改自hydra(github:https://github.com/vanhauser-thc/thc-hydra)的RDP部分。hydra是一款支持多種網(wǎng)絡(luò)服務(wù)的強(qiáng)大的暴力破解工具,Cracker:RDP模塊使用了其源碼中的rdp.c文件,用于對開放了RDP服務(wù)端口的計(jì)算機(jī)進(jìn)行爆破。不同于Cracker:mssql模塊和Cracker:Telnet模塊,Cracker:RDP模塊只是進(jìn)行爆破而未加入任何入侵以及代碼執(zhí)行的功能。

          圖2-5-39 Cracker:RDP模塊掃描端口

          5.4 Cracker:CCTV

          Cracker:CCTV模塊是一個CCTV攝像頭入侵模塊。該模塊會向http://Targetip:port/shell?...(&hellip;的內(nèi)容猜測是用戶名&密碼)發(fā)送GET請求,一旦請求返回的狀態(tài)值不為400,401,403,404或500,則認(rèn)為該ip地址和端口號對應(yīng)的CCTV攝像頭可以被入侵。

          圖2-5-40 Cracker:CCTV模塊掃描CCTV攝像頭

          由于在密碼字典wpd.dat中并沒有配置CCTV相關(guān)的鍵值,猜測該模塊是和Cracker:Telnet模塊結(jié)合使用的。由于mirai中含有識別特定IOT設(shè)備的代碼,而Cracker:Telnet模塊又是修改自mirai,猜測當(dāng)Cracker:Telnet模塊發(fā)現(xiàn)某臺設(shè)備為CCTV攝像機(jī)時(shí)則通過Cracker:CCTV模塊進(jìn)行入侵。

          5.5 其他模塊

          在Bot程序早期的版本中(2016年10月編譯的版本)還發(fā)現(xiàn)了Cracker:MySQL模塊,Cracker:SSH模塊和Cracker:WMI模塊,這些模塊的功能都是在被入侵的計(jì)算機(jī)中執(zhí)行shell。

          圖2-5-41 Cracker:MySQL模塊

          圖2-5-41 Cracker:WMI模塊

          圖2-5-41 Cracker:WMI模塊

          不過這幾個模塊在之后的版本中都被移除了,而原本功能簡單的Cracker:mssql模塊在之后的版本中得到了完善。

          cService模塊用于管理Bot服務(wù),Bot服務(wù)是Service形式的Bot程序。

          當(dāng)Bot程序的啟動參數(shù)中包含&ldquo;-create&rdquo;時(shí),cService模塊創(chuàng)建名為&ldquo;xWinWpdSrv&rdquo;的服務(wù),該服務(wù)以&ldquo;-s &ndash;syn 1500&rdquo;作為啟動參數(shù)啟動Bot程序。

          圖2-6-1 創(chuàng)建Bot服務(wù)

          當(dāng)Bot程序的啟動參數(shù)包含&ldquo;-delete&rdquo;時(shí),cService模塊刪除&ldquo;xWinWpdSrv&rdquo;服務(wù)。

          圖2-6-2 刪除Bot服務(wù)

          當(dāng)Bot程序的啟動參數(shù)包含&ldquo;-start&rdquo;時(shí),cService模塊啟動&ldquo;xWinWpdSrv&rdquo;服務(wù)。

          圖2-6-3 啟動Bot服務(wù)

          當(dāng)Bot程序的啟動參數(shù)包含&ldquo;-stop&rdquo;時(shí),cService模塊停止&ldquo;xWinWpdSrv&rdquo;服務(wù)。

          圖2-6-4 停止Bot服務(wù)

          Bot程序模塊眾多,并且各模塊之間關(guān)系緊密,相互配合。此外,Bot程序與其他組件相輔相成,以保證攻擊者對計(jì)算機(jī)的持久控制以及僵尸網(wǎng)絡(luò)的不斷壯大。以下將用一個關(guān)系圖描述Bot程序與其他組件之間的關(guān)聯(lián)。

          圖2-6-5 Bot程序與其他組件關(guān)系圖

          從僵尸網(wǎng)絡(luò)當(dāng)前的攻擊重點(diǎn)來看,防范其通過1433端口入侵計(jì)算機(jī)是非常有必要的。此外,Bot程序還有多種攻擊方式尚未使用,這些攻擊方式可能在未來的某一天被開啟,因此也需要防范可能發(fā)生的攻擊。對此,我們總結(jié)以下幾個防御策略:

          1.對于未遭到入侵的服務(wù)器,注意msSQL,RDP,Telnet等服務(wù)的弱口令問題。如果這些服務(wù)設(shè)置了弱口令,需要盡快修改;

          2.對于無需使用的服務(wù)不要隨意開放,開放的服務(wù)是黑客入侵的前提。對于必須使用的服務(wù),注意相關(guān)服務(wù)的弱口令問題;

          3.特別注意445端口的開放情況。由于黑客曾經(jīng)使用永恒之藍(lán)漏洞入侵計(jì)算機(jī),不排除黑客故技重施。及時(shí)打上補(bǔ)丁更新操作系統(tǒng)是非常有必要的。

          4.關(guān)注服務(wù)器運(yùn)行狀況,注意CPU占用率和進(jìn)程列表和網(wǎng)絡(luò)流量情況可以及時(shí)發(fā)現(xiàn)系統(tǒng)存在的異常。此外,注意系統(tǒng)賬戶情況,禁用不必要的賬戶。

          5.對于網(wǎng)絡(luò)攝像頭持有者,建議修改默認(rèn)密碼以防止黑客直接使用默認(rèn)密碼爆破。

          該僵尸網(wǎng)絡(luò)現(xiàn)今主要依靠端口掃描和弱口令爆破進(jìn)行傳播,但其在&ldquo;永恒之藍(lán)&rdquo;漏洞攻擊武器出現(xiàn)之初就利用該武器入侵了一定數(shù)量的計(jì)算機(jī),可見其對于最新曝光的漏洞利用以及攻擊方法的掌握十分迅速,因此需時(shí)刻警惕其可能發(fā)起的重大攻擊。


          主站蜘蛛池模板: 蜜桃无码AV一区二区| 中文国产成人精品久久一区| 无码精品人妻一区二区三区漫画 | 亚洲一区二区三区91| 国产精品成人一区二区| 精品国产天堂综合一区在线| 无码日韩精品一区二区免费暖暖 | 中文无码精品一区二区三区 | 曰韩人妻无码一区二区三区综合部 | 亲子乱AV视频一区二区| 一区二区国产在线播放| 精品一区二区三区电影| 国产亚洲综合精品一区二区三区| 久久一区二区三区精华液使用方法| 久久久精品人妻一区二区三区蜜桃 | 无码视频一区二区三区| 国产AV午夜精品一区二区三| 成人精品视频一区二区三区 | 国产美女一区二区三区| 精品无码AV一区二区三区不卡 | 日韩有码一区二区| 色欲AV无码一区二区三区| 北岛玲在线一区二区| 区三区激情福利综合中文字幕在线一区| 日韩精品一区二区三区在线观看l 日韩精品一区二区三区毛片 | 一区二区和激情视频| 亚洲av无码一区二区三区天堂| 国产精品无码亚洲一区二区三区 | 久久综合九九亚洲一区| 91在线精品亚洲一区二区| 国产精品香蕉一区二区三区| 竹菊影视欧美日韩一区二区三区四区五区| 亚洲午夜在线一区| 精品国产一区二区三区av片 | 91无码人妻精品一区二区三区L| 中文字幕一区二区三区在线观看 | 国产伦理一区二区三区| 中文字幕一区在线观看| 精品视频无码一区二区三区| 亚洲AV无码一区二区三区人| 日本精品一区二区三区视频|