В течение почти 7 лет (из моей 19-летней карьеры SEO) я занимался « судебной SEO ». От борьбы со штрафами, взлома сайтов до общей потери трафика, выяснения причин, по которым все идет не так, была моя жизнь. За это время я видел много неприятных хаков и негативных SEO-атак. Недавно меня случайно втянули с новым клиентом, которого мы взяли.
Почти случайно мы столкнулись с явной атакой «взлома ссылок». И это был не твой подход к мельнице.
Для непосвященных злоумышленники, по сути, взламывают сайт, чтобы добавить ссылки на различные гнусные сайты, за которые они хотят получить рейтинг. Это обычно на одном из рынков, которые мы с любовью называем; 4 Ps - таблетки, порно, покер, Payday. Мы впервые заметили это, когда ключевые слова фарма начали появляться в консоли поиска Google, явный признак того, что Google обнаружил это и проиндексировал его, и сайт: поиск подтвердил это.
Это была одна из самых изобретательных вещей, которые я когда-либо видел, и это выходило далеко за рамки того, что обычный SEO или владелец сайта мог бы найти на своем сайте, если их ударили. Итак, я решил написать об этом как предупреждение для других.
Установка стола
Для начала им нужно получить доступ к сайту. То, что случается слишком часто, является разрывом между разработчиком и клиентом и чистой ленью. Вот сценарий;
- WP install не делает то, что хочет клиент из коробки
- Плагины используются, но также не совсем работают по мере необходимости из коробки
- Разработчик настраивает указанный плагин, не объясняет риск
- Когда WP обновляется, плагины обновляются, dev не пытается обновиться из-за настроек
В этом и заключается проблема. Разработчики, стремясь угодить своему клиенту, связываются с плагином, а затем либо уходят, либо не хотят говорить клиенту, что каждый раз, когда WP и плагин нуждаются в обновлении, это будет стоить дороже. Сайт сейчас уязвим. Подобный сценарий происходит, когда владелец сайта не может обновлять плагины или использует старые плагины, которые не обновлялись годами - просто потому, что это самая «последняя» версия, это не значит, что этого не может быть ( или еще не) эксплуатируется.
Чтобы сделать этот хак и подобные ему еще более гнусными, хакеры отключили возможность WordPress проверять и предупреждать владельца сайта о том, что плагины устарели, а также сам WordPress. В любом случае, все отлично выглядело в админке WordPress с полным обновлением, даже если это не так.
Если честно? Мы либо информируем клиента о текущих затратах, связанных с обновлением настраиваемого плагина, либо просто пишем наш собственный настраиваемый плагин. Последнее безопаснее, так как злоумышленники не могут получить его копию для обратного инжиниринга.
Это часто, как эти типы ситуаций начинаются.
Анатомия взлома
В этом случае использованный код был скрыт в различных файлах изображений PNG и GIF. И да, это « вещь» . Они были распределены по примерно 22 каталогам на сервере и выглядели безобидными.
При более простых атаках мы склонны искать файлы с нечетными именами, записи в htaccess, php.ini и другие общие элементы. В конце я добавил кое-что для чтения, чтобы познакомиться с множеством способов, которые используются в наши дни.
Эти люди были подлыми.
То, что они делали, это добавление страниц Google в комплекте с (раскрученным) контентом и, конечно же, ссылками. В то время мы были привезены они были Виагра / Сиалис, но через глядя на лог-файлов сервера, которые мы определили, что они использовали его для различных порно терминов в прошлом.
Конечно, если бы вы или я пошли на страницу, мы бы ничего не увидели, поскольку она делала цикл и 302 перенаправлялась обратно на домашнюю страницу. Чтобы увидеть взломанные страницы, вам нужно было подделать реферера Google. Что-то не редкое в прошлом с сайтами, которые поражены вредоносными программами.
Самое интересное в том, что эти страницы нигде не отображаются в бэкэнде WordPress. Они не отображаются в базе данных WordPress, поэтому для тех, кто их ищет, они невидимы. Интересно, что они связались с плагином перенаправления, который мы даже не нашли, пока не зашли в панель управления сервером и не нажали «показать скрытые файлы».
Противный маленький хак
За все мои годы работы в области криминалистики это один из лучших / хитрых «взломов ссылок», которые я когда-либо видел. По пути было несколько подсказок (время загрузки, robots.txt был пуст), но ничего общего с обычными строчками, кроме красных флажков.
Как я упоминал ранее, мы в конечном итоге обнаружили его в некоторых файлах PNG, распределенных по 22 каталогам. Изначально они получили доступ через плагин WordPress, который не был обновлен. По сути, они использовали своего рода «черные шляпы CDN » на своих серверах, которые будут кормить Google целыми страницами, но эти страницы так и не появились на сайте, потому что они были на сервере злоумышленников. Время загрузки было связано с тем, что оно отправляло обычных пользователей на их сайт и обратно на домашнюю страницу, но их взломанная страница никогда не загружалась.
Интересно, что Google даже не прижился и не пометил сайт как взломанный в результатах поиска, хотя страницы были проиндексированы… и внедренный контент и ссылки были там с августа 2016 года. Я отправлю Google исследование, как только получу сделано, так что об этом стоит знать.
Это отличный вариант для настройки двухмесячного отслеживания в Google Search Console и Google Analytics. Часто я чувствую, что некоторые клиенты думают, что мой мониторинг - это просто захват денег ... но если бы не это, я бы никогда не понюхал взлома. Это был новый клиент, я делал свой первоначальный прогон, когда наткнулся на него… таким образом, он был на месте с 2016 года. Теперь можно также подумать, что « Google не поймал его, поэтому они не были оштрафованы », но эй , они обязаны в конце концов, это не стоит риска. Как ни странно, рейтинг / трафик клиента рос все время, и они никогда не были оштрафованы.
Таким образом, мы можем предположить, что Google никогда не ловил это, и что это не была атака neg-SEO как таковая. Это был взлом для ссылок. Тем не менее, хакеры могут использовать этот же метод для целевой негативной SEO-атаки, и это может быть сделано на любом сайте, даже на тех, кто не использует WordPress.
Некоторое чтение, чтобы узнать больше об этом типе атаки с использованием PNG;
https://blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metadata.html
https://stackoverflow.com/questions/32802514/code-injection-in-png-file
https://phocean.net/2013/09/29/file-upload-vulnerabilities-appending-php-code-to-an-image.html
https://security.stackexchange.com/questions/111935/exploiting-a-php-server-with-a-jpg-file-upload
https://aw-snap.info/articles/spam-hack-wordpress.php
Наконец, мы также нашли скрытый плагин (файлы не могли быть видны на сервере) - чтобы найти его, мы пошли в панель управления хостингом и нажали « показать скрытые файлы », а затем нашли законный плагин под названием; Простые 301 - до этого рассматриваемые противные взломанные страницы делали 301 - 302 - 200. Теперь они посылают правильные 404.
Следующие две вкладки изменяют содержимое ниже.
Дэвид - SEO-консультант Verve Developments с опытом работы более 18 лет. Он также является одним из основателей SEO Training Dojo, сообщества профессионалов.
Если честно?