Por quase 7 anos (da minha carreira de SEO de 19 anos) fiz " SEO forense ". De lidar com penalidades, sites pirateados para perda geral de tráfego, ordenar por que as coisas estão indo errado foi minha vida. Durante esse período, vi muitos hacks desagradáveis e ataques negativos de SEO. Recentemente, fui inadvertidamente arrastado de volta com um novo cliente que assumimos.
Quase por acidente, encontramos um aparente ataque de "hacking para links". E esta não foi a sua abordagem da fábrica.
Para os não iniciados, os malvados essencialmente estão pirateando o site para adicionar links para vários sites nefastos que eles desejam classificar. Geralmente é em um dos mercados que chamamos amorosamente; os 4 Ps – Pills, Porn, Poker, Payday. Primeiro percebemos isso quando as palavras-chave farmacêuticas começaram a aparecer Não Google Search Console, um sinal claro de que o Google havia descoberto e indexado, e um site: a pesquisa confirmou.
Foi admiravelmente uma das coisas mais inventivas que eu " D visto, e muito além do alcance do que um SEO médio ou proprietário do site seria capaz de encontrar em seu site, se eles foram atingidos. Então, eu decidi escrever sobre isso como um aviso para os outros.
Configurando a mesa
Para começar, eles precisam ter acesso ao site. O que acontece com demasiada frequência é uma quebra na comunicação do desenvolvedor com o cliente e pura preguiça. Aqui está o cenário;
- A instalação do WP não faz o que o cliente quer sair da caixa
- Os plugins são usados, mas também não funcionam, conforme necessário, fora da caixa
- O desenvolvedor personaliza o referido plugin, doesn 't explicar o risco
- Quando as atualizações do WP, a atualização dos plugins, o dev não se preocupa em atualizar por causa de personalizações
. Isso coloca o problema. Os desenvolvedores, que procuram agradar seu cliente, mexem com um plugin e depois deixam ou não querem dizer ao cliente que vai custar mais cada vez que o WP e o plugin precisam ser atualizados. O site agora é vulnerável. Um cenário semelhante ocorre quando um proprietário do site não consegue manter os plugins atualizados ou eles estão usando plugins mais antigos que não foram atualizados em anos – só porque é a versão mais "recente" não significa que não pode ser ( ou não já foi explorado.
Para tornar este hack, e outros semelhantes, ainda mais nefastos, os hackers desabilitaram a capacidade do WordPress de verificar e alertar o proprietário do site de que os plugins estavam desatualizados, bem como o próprio WordPress. Para todos os efeitos, tudo pareceu bem Não backend administrativo do WordPress com tudo totalmente atualizado, mesmo que não fosse.
Para ser honesto? Nós também educamos o cliente Não custo contínuo associado à atualização de um plugin personalizado ou simplesmente escrevemos nosso próprio plugin personalizado. O último é mais seguro, uma vez que os malvados não conseguem obter uma cópia dele para engenharia reversa.
Isso é frequentemente como esses tipos de situações começam.
Anatomia do hack
no Nesta instância, o código nefasto que foi usado foi escondido em vários arquivos de imagem PNG e GIF. E sim, isso é ' uma coisa' . Eles foram espalhados por cerca de 22 diretórios Não servidor e aparentemente inócuos.
Em ataques mais simples, procuramos arquivos nomeados ímpares, entradas Não htaccess, php.ini e outros elementos comuns. Eu adicionei algumas leituras Não final para me familiarizarem com a miríade de maneiras que são usadas nos dias de hoje.
Essas pessoas estavam sorrateiras.
O que eles estavam fazendo é alimentar páginas do Google completas com conteúdo (girado) e, claro, links. Não momento em que fomos trazidos, eles eram Viagra / Cialis, mas, ao olhar para os arquivos de log do servidor, identificamos que eles o usaram para vários termos pornográficos Não passado.
Claro, se você ou eu fomos ao página, não veríamos nada como fez um loop e 302 redirecionados de volta para a página inicial. Para ver as páginas pirateadas, você precisava falsificar um referente do Google. Algo não incomum Não passado com sites que são atingidos com malwares.
A parte divertida é que as páginas em questão não aparecem em qualquer lugar na parte traseira do WordPress. Eles não aparecem Não banco de dados do WordPress, então, para quem procura por eles, eles são invisíveis. Curiosamente, eles fizeram a bagunça com um plugin de redirecionamento que nem sequer achamos até que fomos ao painel de controle do servidor e clicamos em "mostrar arquivos ocultos".
Nasty little hack
Em todos os meus anos de trabalho forense, Este é um dos melhores / sneakiest 'hack para links' que eu vi. Havia algumas sugestões ao longo do caminho (tempos de carregamento, robots.txt estava vazio), mas nada ao longo das linhas usuais até as bandeiras vermelhas.
Como mencionei anteriormente, finalmente encontramos isso em alguns arquivos PNG espalhados por cerca de 22 diretórios. Eles originalmente receberam acesso através de um plugin do WordPress que não foi atualizado. Essencialmente, eles usaram uma espécie de "black hat CDN " 'em seus servidores que alimentariam páginas inteiras do Google, mas essas páginas nunca apareceram Não site porque estavam Não servidor dos baddies. O tempo de carregamento foi porque ele enviaria usuários normais para seu site e de volta para a página inicial, mas sua página pirateada nunca foi carregada.
Curiosamente, o Google nem conseguiu capturar e marcar o site como sendo pirateado nos resultados da pesquisa , embora as páginas tenham sido indexadas … e o conteúdo injetado e os links estavam lá desde agosto de 2016. Eu irei enviar o estudo de caso do Google assim que tiver terminado, então isso vale a pena conhecer.
Este é um GRANDE argumento para a configuração rastreamento bimensual Não Google Search Console e Não Google Analytics. Muitas vezes eu sinto que alguns clientes pensam que meu monitoramento é apenas uma cobrança de dinheiro. Mas, se não fosse por isso, nunca teria detectado um cheiro de hack. Era um novo cliente, eu estava fazendo minha corrida inicial quando me deparei com isso … assim estava em vigor desde 2016. Agora, também se pode pensar que " O Google não pegou, então eles não foram penalizados "mas oi, eles são obrigados a eventualmente, não vale a pena o risco. Com bastante graça, o ranking / tráfego do cliente estava crescendo o tempo todo e nunca foram penalizados.
Assim, podemos assumir que o Google nunca o pegou e que não era um ataque neg-SEO por si só. Era um hack-para-links. Não entanto, os hackers podem usar esse mesmo método para um ataque de SEO negativo e pode ser feito em qualquer site, mesmo aqueles que não usam o WordPress.
Alguns lendo para aprender mais sobre esse tipo de ataque utilizando PNGs;
https: //blog.sucuri.net/2014/02/Novo-iframe-injections-leverage-png-image-metadata.html
https://stackoverflow.com/questions/32802514/code-injection-no-png- arquivo
https://phocean.net/2013/09/29/file-upload-vulnerabilities-appending-php-code-para-an-image.html
https://security.stackexchange.com/ perguntas / 111935 / exploiting-a-php-server-com-a-jpg-file-upload
https://aw-snap.info/articles/spam-hack-wordpress.php
Por fim, nós também encontrou um plugin escondido (os arquivos não podiam ser vistos Não servidor) – para encontrá-lo, fomos ao painel de controle de hospedagem e clicamos em " mostrar arquivos ocultos " e então encontramos um plugin legítimo chamado; Simples 301 – antes que as páginas pirateadas desagradáveis em questão estivessem fazendo um 301 – 302 – 200. Agora estão enviando o apropriado 404.
David é um consultor de SEO com a Verve Developments com mais de 18 anos de experiência. Ele também é um dos fundadores do SEO Training Dojo, uma comunidade para profissionais.