Black Hat Seo – Malware

05/21/2009 admin black seo

Spotkałam się ostatnio z ciekawym przypadkiem “robaka internetowego” (PHP Injection Script Exploit) pochodzącego z zainfekowanych witryn znajdującego źródło na stronach gumblar.cn i martuz.cn (nie radzę na nie wchodzić!).

Wchodząc na zainfekowaną stronę trojan wykorzystuje luki w acrobat readerze i we flash playerze (dlatego warto pobrać najnowsze wersje tych programów).
Po zainfekowaniu systemu trojan ma możliwość monitorowania ruchu w sieci i wykradania haseł z klientów ftp…
A jak już robak się dostanie na ftp działa w taki sposób, że dokleja kod php/js do plików index.php, index.html, main.html, config.php, plików js oraz tworzy plik .php w katalogu images – w skryptach wszelkiego rodzaju, również takich jak blogi WP czy forum.

W jaki sposób robak manipuluje wynikami Google?
Strona z wynikami wygląda normalnie, ale linki przekierowują nas na zupełnie inne strony. “Gdy znajdziemy jakąś witrynę, Gumblar podmieni w niej odnośniki na prowadzące do stron wybranych przez cyberprzestępców.” (źródło)
Inna sprawa, że zainfekowana strona zostaje oznaczona w wynikach Google jako niebezpieczna – taką informację dostanie użytkownik przed jej odwiedzeniem, także raczej wątpliwe jest, że zdecyduje się ją odwiedzić.
Chociaż spotkałam się z sytuacją, że robot Google mimo, iż strona była w taki sposób oznaczona dalej ją indeksował.
Co można zrobić w takiej sytuacji? Oczywiście pozbyć się tego paskudztwa, ustawić odpowiednie prawa zapisu na ftp, pozmieniać hasła, zaktualizować ww. oprogramowanie i program antywirusowy oraz w miarę możliwości zabezpieczyć stronę przed atakami.
Po usunięciu kodu stronę można zgłosić do weryfikacji przez narzędzia webmasterów Google.

Źródła i wskazówki:
http://www.techjaws.com/new-php-exploit-on-the-loose/
http://malware-web-threats.blogspot.com/2009/04/black-hat-seo-and-rogue-antivirus-p5.html
http://blog.scansafe.com/journal/2009/4/14/malware-manipulating-google-serps.html
http://www.techjaws.com/wordpress-security-tips/
http://semlabs.co.uk/journal/how-to-stop-your-wordpress-blog-getting-hacked
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about-this-injected-script/

Ciekawe czy ten robak ma coś wspólnego z takimi SERPami, że przez jakiś czas strona klienta na frazę X spadła na ponad 150 miejsce w miejscowości A. Z kolei w miejscowości B była w pierwszej 20. Fraza nie zawierała w sobie ani nazwy miejscowości, ani żadnego regionu. Dlaczego tak było? Nie mam pojęcia…

A tutaj o tym w jaki sposób konkurencja może zaszkodzić naszej stronie.

Swoją drogą otrzymując od kogoś skrypt może się zdarzyć, że ktoś zostawi w nim nie tylko reklamy, ale również luki (np. dziurawy phpBB2 by przemo..), z których pewnie hakerzy chętnie skorzystają czy wręcz szkodliwy kod.

Jako ciekawostkę na deser podaje przykład zainfekowanej strony będącej na drugim miejscu w wynikach wyszukiwania frazy “oprogramowanie na zlecenie”:

Programy, aplikacje, oprogramowanie na zamówienie/zlecenie
Ta witryna może wyrządzić szkody na Twoim komputerze.
Aplikacje i oprogramowanie na zlecenie. W oparciu o najbardziej wydajne, zapewniające odpowiedni poziom bezpieczeństwa informacji technologie, ...
www.amrsoft.pl/html/polish/oprogramowanie.htm

Jak widać każdemu może się zdarzyć..

A oto co radzi samo Google – czytaj.

aplikacje, black seo, ftp, google, gumblar,


Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Optymalizacja i pozycjonowanie

Powered by WordPress. Designed by elogi.