هکرها اسپم SEO را در وب‌گاه‌های قانونی از طریق پرونده‌های اصلی وردپرس درج کردند.

به عنوان یک یادآوری خوب است خاطر نشان کنیم که کلاهبرداران سعی می‌کنند همه چیز را به صورت غیرقابل تشخیص انجام دهند. Sucuri هفته گذشته یک روش جدید از قرار دادن اسپم SEO در وب‌گاه‌های وردپرس هک شده با استفاده از پرونده /wp-includes/load.php، که یکی از پرونده‌های هسته وردپرس است را نشان داد.

وب‌گاه‌های وردپرس ناامن اطراف ما به لطف سهم بازار سامانه مدیریت محتوا (CMS) بزرگی که دارد با تمام محصولات دیگر مقایسه شده است. کلاهبرداران، تعداد زیاد وب‌گاه‌های ناامن را برای هک نصب وردپرس، یا از طریق افزونه‌های بروزرسانی نشده، قالب‌های آسیب‌پذیر و یا از طریق کلمه عبور ضعیف مدیریتی وسیله نفوذ خود قرار می‌دهند.

پس از هک هدف خود، کلاهبرداران تمایل به استفاده از این وب‌گاه‌ها به عنوان بات در حملات منع سرویس توزیع‌شده، به عنوان کارگزار فرماندهی و کنترل برای عملیات‌ و جرائم سایبری، وب‌گاه‌های بارگیری بدافزار، برای میزبانی تبلیغ‌افزار یا ربودن نتایج جستجوگرها دارند.

اسپم SEO مبتنی بر وب‌گاه‌های وردپرس ناامن:

مهاجمان وب‌گاه‌های هک شده را برای بارگذاری محتوا مجبور می‌کند که این محتوا بطور پیش‎فرض برای کاربر انسانی پنهان است اما برای خزشگر موتور جستجو نشان داده می‌شود.

این وب‌گاه‌های هک شده موجود، متن مختلفی برای جستجوی بات‌ها دارند نسبت به اینکه کاربران معمولی می‌توانند ببینند، معمولاً موضوعات، توضیحات کاملاً متفاوتی دارند و به وب‌گاه‌های دیگر که کلاهبرداران برای افزایش رتبه‌بندی موتور جستجو می‌خواهند، پیوند می‌دهند.

این اتفاق به ضرر وب‌گاه هک شده است، که در حال حاضر ترافیک خود را از دست می‌دهد و شرح عمومی خود را در گوگل، بینگ و یا وب‌گاه‌های دیگر تغییر می‌دهد.

در یک مورد از بررسی Sucuri، تحلیلگران این شرکت یک پورتال موفق کسب و کار کشف کردند که محتوای مستهجن در توضیحات نتایج جستجوی گوگل نشان می‌دهد.

با توجه عمیق به این نوع آلودگی، Sucuri کشف کرد که کلاهبرداران تنها با بارگذاری یک پرونده جاوا اسکریپت یا PHP ساده در سرآیند یا فوتر وب‌گاه راضی نمی‌شوند و در واقع به تغییر پرونده‌های اصلی وردپرس دست می‌زنند، جایی که تعداد بسیار کمی از مدیران وب‌گاه تمایل به دیدن آن دارند.

کلاهبرداران پرونده‌های اصلی وردپرس را برای انجام تمام کارهای تبهکارانه ربودند:

این هکرها پرونده‌ی /wp-includes/load.php را ویرایش کردند، یک پرونده اصلی وردپرس که برای هر بازدیدکننده وب‌گاه و بارگیری پرونده‌های دیگر اجرا شده و اجزای وب‌گاه نهایی را کنار هم قرار می‌دهد.

محقق Sucuri تصمیم کلاهبرداران برای تغییر این پرونده خاص را توضیح می‌دهد: «مهاجم امیدوار است که شما بر روی پرونده‌های اصلی (یعنی header.php، footer.php) و پرونده‌هایی که در اساس وردپرس نصب شده‌اند (یعنی index.php، wp-load.php) تمرکز کنید.»

مهاجمان پرونده /wp-includes/load.php را برای بارگیری پرونده دیگر /wp-admin/includes/class-wp-text.php ویرایش می‌کنند، که هرگز نباید در نصب معمول وردپرس وجود داشته باشد، اما کلاهبرداران در میان دیگر پرونده‌های اصلی وردپرس آن را مخفی می‌کنند.

این به نوبه خود، تمام مطالب اسپم SEO را بارگیری می‌کند، اما فقط برای خزشگر موتور جستجوی گوگل، خروجی وب‌گاه مانند حالت عادی است که برای کاربر نشان داده می‌شود. این روش توضیح می‌دهد که چرا وب‌گاه در نتایج جستجو نشان داده می‍شود که شما می‌توانید در تصویر زیر ببینید اما برای همه دسترسی به آن کاملا عادی به نظر می‌رسد.

این محقق به دیگر مدیران وب‌گاه‌ها توصیه می‌کند: «در اینجا، لازم به ذکر است که حسابرسی پرونده‌های وب‌گاه خود به صورت دستی برای تغییرات می‌تواند بسیار جامع باشد و به همین دلیل نظارت بر روی پرونده‌های اصلی وب‌گاه را توصیه می‌کنیم. این سامانه به شما هشدار می‌دهد که یک پرونده جدید (./wp-admin/includes/class-wp-text.php) ایجاد شد و یک پرونده اصلی ویرایش شد (./wp-includes/load.php). به جای رفتن بین بیش از هزار پرونده وردپرس به صورت دستی، شما از قبل آن‌هایی را که ویرایش شدند را می‌شناسید و بنابراین می‌توانید کار مقابله را از آن پرونده شروع کنید.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.