Zilele acestea am curățat multe bloguri WordPress cu probleme, în loc să scriu despre trebușoare mai interesante, cum ar fi articole utile pe acest blog.
După ce câteva bloguri ale unor clienți din afară au avut probleme cu vulnerabilitatea TimThumb despre care am scris recent și pe care mulți au ignorat-o, astăzi mi-am pierdut timpul cu niște spam links injection în câteva bloguri sub WordPress de pe meleagurile noastre. Spam link injection constă în linkuri introduse în codul sursă al temei WordPress active sau în feed-ul RSS, invizibile pentru vizitatorul obișnuit, dar vizibile pentru motoarele de căutare – în principal e targetat Googlebot-ul.
Principalul simptom al unei infestări cu spam links este scăderea numărului de vizitatori veniți din motoarele de căutare. În plus dacă folosești FeedBurner pentru a “arde” RSS-ul blogului vei primi o eroare asemănătoare cu aceasta în panoul de control pentru feed-ul respectiv.
Vom confirma problema din două surse. Inspectează site-ul cu pricina în Unmask Parasites. Rezultatul pentru blogul în cauză a fost cel din imagine.
Urmează o inspecție a codului sursă pentru feed-ul RSS. Undeva spre finalul fișierului am găsit aceleași link-uri suspecte.
Am confirmat infecția, trebuie să aflăm sursa, să o eliminăm și, dacă este posibil, să prevenim eventuale probleme pe viitor. Deoarece infecția este prezentă în codul sursă al temei și în RSS vom verifica codul sursă al fișierelor din wp-content, cu o atenție deosebită pentru wp-content/plugins și wp-content/themes, și al fișierelor index.php din folderele WordPress. Downloadați local tot folderul wp-content și folosiți Notepad++, funcția Search in files…, pentru a căuta orice bucată de cod encodată base64 sau o porțiune din textul descoperit anterior.
Pentru că am întâlnit frecvent convingerea că dezactivarea pluginurilor sau a temelor suspecte de infecție rezolvă problema, regret nespus să vă dezamăgesc - majoritatea fișierelor PHP vor putea fi executate fără probleme chiar dacă pluginul căruia aparțin nu mai este activ. Doar ștergerea/curățarea fișierelor infectate este o soluția viabilă.
După îndelungi căutări am găsit în fișierul index.php din folderul root al WordPress porțiunea de cod responsabilă pentru link injection.
<?
$agent = $_SERVER['HTTP_USER_AGENT'];
if(!eregi("google",$agent))
{
?>
<div style="position:absolute; top:-99999px;">
<?
}
?>
Free all <a href="http://free-powerpoints.blogspot.com/" rel="muse" target="_blank">powerpoint templates</a> download online and review.
<a href="http://wallpaper-99.blogspot.com/" title="wallpapers" rel="muse" target="_blank">wallpapers</a>
Desktop <a href="http://widescreenbackgrounds.blogspot.com/" title="widescreen backgrounds">widescreen backgrounds</a> for your computer wallpapers.
Free daily <a href="http://wallpapersfreebackground.blogspot.com/" title="wallpapers free backgrounds">wallpapers free backgrounds</a> high quality wallpapers for your desktop.
Turkiye'nin En Buyuk <a href="http://filmizleport.blogspot.com" title="film izle" rel="muse" target="_blank">film izle</a>me sitesi.
Turkiye'nin En Buyuk <a href="http://onlinefilmizle1.blogspot.com/" title="online film izle" rel="muse" target="_blank">online film izle</a>me sitesi.
<a href="http://www.harew.com/" title="harew" rel="muse" target="_blank">harew</a>
<a href="http://www.vipresim.com/" title="resim" rel="muse" target="_blank">resim</a>
<a href="http://yawrukusum.blogspot.com/" title="yavru" rel="muse" target="_blank">yavru</a>
</div>
Probabil că nu aș fi căutat chiar acolo, dar fișierul index.php are în mod normal doar 398 bytes față de 1724 bytes cât avea fișierul infectat. Am șters codul vinovat de problemă, am suprascris toate fișierele WordPress cu o versiune clean de pe WordPress.org, pentru siguranță, și am regenerat parola FTP pentru fiecare blog infectat în parte.
Pentru că nu-mi doresc ca pe viitor să fiu nevoit să repar aceeași problemă, am încercat să găsesc un numitor comun pentru blogurile afectate. Nu vreau să arăt cu degetul, dar fiecare dintre deținătorii respectivelor bloguri folosea drept client FTP FileZilla. Problema nu este chiar nouă și este datorată modului în care FileZilla stochează datele conturilor FTP în clar în fișierul filezilla.xml din C:\Documents and Settings\Administrator\Application Data\FileZilla\. Mai multe despre această problemă puteți afla în articolul FileZilla Alert – Hacker Threat Through Trojan Virus – problemă semnalată în 2009 și încă nerezolvată. O alternativă gratuită pe care o folosesc de ceva vreme și de care sunt mulțumit este WinSCP.
Pentru că spam link injection are o varietate de manifestări, spamerii sunt mai inventivi decât credeți, recomand să citiți două articole care tratează același subiect
- Exploit Redirects Googlebot to Malware Sites (Bablo me uk).
- WordPress exploit: we been hit by hidden spam link injection
Articole similare:
Si eu foloseam FileZilla dar acum fac upload direct din cpanelul contului de hosting. Mi se pare mult mai usor de folosit si merge mult mai repede. Ma intreb de ce nu folosesti toata lumea aceasta varianta.
Si daca ai cateva sute de fisiere, cum procedezi?
Pai cand am de urcat mai multe fisiere le arhivez zip si le urc tot prin upload-ul de la cpanel. Stiu ca nu este varianta cea mai buna dar cum sunt o persoana mai putin familiarizata cu tot ce tine de wordpress, este varianta cea mai sigura. Multumesc inca odata pentru faptul ca ai facut acest blog si ca scrii foarte multe articole despre platforma WordPress. Am invatat foarte multe lucruri utile de aici si ori de cate ori se iveste ocazia dau articolele mai departe. Bafta in continuare si multa inspiratie si putere de munca sa dezvolti acest proiect mai departe.
Bun. Mersi de atenționare. Acum ideea e așa: dacă nu umblă nimeni altcineva decât eu pe laptopul unde am toate parolele salvate din FileZilla, e posibil să am vreo problemă? Adică mai sunt stocate în alt mod, sau se pot „sparge” în vreun fel?
Hahaha, nu ai auzit de troieni, nu? Nu sta nimeni special sa iti afle parolele tale. Doar ca modul de stocare al parolelor in FileZilla nu este sigur. Punct.
am muscat-o si eu cu TimThumb. Chiar nu intelegeam de unde era mallware dar m-a ajutat un prieten. Eu nu ma pricep la soft.
Cred ca l-a si scos. Din google webmaster tools am dat sa reverifice site-ul si mi-a scos acel mesaj malitios.
revin si se pare ca imi tot da erori peste erori, nu ma lasa nici sa intru in wp-admin acum
cert e am repus tot worpdresu din nou, am dat overwrite si vad ca tot degeaba d
de ex am eroare cand :
schimb o tema
editez un post – Warning: Cannot modify header information – headers already sent by (output started at /home/mortu/public_html/wp-settings.php:329) in /home/mortu/public_html/wp-includes/pluggable.php on line 934
cand altii imi lasa comentarii
aceste modificari se fac dar e enervant ca apar erorile astea
nu e on cel care ma ajuta pe mine cu astea si e tare nasol
incerc sa caut pe google raspunsuri.
Am intrat pe pagina aia de cautare malware si mi-a aratat ca ar fi o buba in /contact
Am avut siteul administrat pe platforma statica la Romarg cu RVSOFT. Am obtinut rank-ul 4 . Pe urma m-am hotarat sa-l pun in WordPress si am avut surpriza sa scad la rank-ul 3 desi in continuare am optimizat constant siteul . Mi-ati putea spune ce se intampla? Multumesc anticipat!
Ai greșit site-ul și articolul, aici nu dăm sfaturi SEO.
ar trebui o lista cu neregulile wordpress