Kizárás a Google indexéből

Ma reggel az alábbi levél fogad:

Kedves Oldalgazda, Webmester!

Webhelyének indexelése közben észleltük, hogy egyes oldalai olyan technikákat használnak, amelyek nincsenek összhangban a webmestereknek szóló minőségi irányelveinkkel: http://www.google.hu/webmasters/guidelines.html. Ennek oka az, hogy oldalát külső beavatkozás és módosítás érte. Általában a támadó egy olyan nem biztonságos mappába jut be, melynek hozzáférési jogai nyitottak. A legtöbb esetben állományokat töltenek fel, vagy meglévő állományokat módosítanak, melyek így spam-et képeznek az indexünkben.

Első körben megnéztem, hogy vajon nem-e valami siheder szórakozik velem. Kiderül, hogy nem, ugyanis a Plastik.hu címlapja végén az alábbi linkek találhatók, amennyiben a böngésző user-agent string a Googlebot:

Az érdekes az, hogy a nevezett naturemoms.com lap nem spammer site, ahogy gondolnánk, hanem ugyanúgy victim, mint én. Írtam is a site tulajdonosának, felhívva erre a figyelmet. Persze fogalom nélkül volt. Remélem van elég expert tudás a birtokában, hogy megoldja magának.

A megcibált blogra onnan lehet ráismerni, hogy “Googlebot” user agenttel megnézzük annak tartalmát:

curl --user-agent Googlebot plastik.hu

El kell ismernem, hogy egy a 2.3.3-as verzió után nem frissítettem 2.5.1-re a Plastikot kiszolgáló WordPress motort. Ezt ma este megtettem azonnal egy db és admin jelszó módosítás keretén belül. Külső szakemberek, így fds, nrg és maz segítségét is igénybe kellett vennem ehhez a tényleg alattomos és sunyi exploithoz.

A megismeréshez szükséges háttér:
http://linux.byexamples.com/archives/397/wordpress-exploit-we-been-hit-by-hidden-spam-link-injection/

Rövid leírás:

We been hit by hidden spam link injection (a modified version of goro spam injection), this crack injects spam links through wordpress wp_footer() or wp_head() hook. The spam links only reveal itself if crawled by search engine bot such as googlebot, and they are hidden from our eyes.

Affected files can be any where, they probably have a common name, but crackers may change the name patterns any time for the next attempt.

Az említett oldal (keltezés: május 26!) segítségével le tudjuk ganézni a hacket. Sajnos nem egyszerű, mert az SQL táblába műti bele magát a kis szemét BASE64 kódoltan (hogy ne keresshessünk egyszerűen), illetve a WP mappán belül is szétszórja a “hacker framework”-jét, amit szintén törölnünk kell.

Nem elég tehát egyszerűen upgradelni a WordPresst, kézzel kell lépésenként végiggyalulni az adatbázist és a fileokat, hogy végre eltűnjenek a spam pagerank linkek.

A WordPress wikipedia szócikke is arra mutat rá, hogy nem jó blogging platform a rossz architektúra miatt:

Vulnerabilities

BlogSecurity currently maintains a list of WordPress vulnerabilities.[8]

In January 2007, many high-profile Search engine optimization (SEO) blogs, as well as many low-profile commercial blogs featuring Adsense, were targeted and attacked with a WordPress exploit.[9]

A separate vulnerability on one of the project site’s web servers allowed an attacker to introduce exploitable code in the form of a back door to some downloads of WordPress 2.1.1. The 2.1.2 release addressed this issue; an advisory released at the time advised all users to upgrade immediately.[10]

In May 2007, a study revealed that 98% of WordPress blogs being run are exploitable.[11]

In a June 2007 interview, Stefen Esser, the founder of the PHP Security Response Team, spoke critically of WordPress’s security track record, citing problems with the application’s architecture that make it unnecessarily difficult to write code that is secure from SQL injection vulnerabilities, as well as other problems.[12]

Legyen az eset intő példa minden WordPresst használó kollégának. Mindig frissíteni kell a népszerű motort, adott esetben másra áttérni.

66 hozzászólás

a.

erre mar legalabb egy hete figyelmeztetett egy kommentelod (hadd ne keressem ki), aztan azzal intezted el, h teged ez nem erint.

hat tessek.

(fszm, mar pentek van, de csak a csutortokot fogadja el)

pappito

és a 2.5.1 már nincs veszélyben?

én nemrég csináltam egy wp-s blogot (még tök üres is) és oda a 2.5.1-et raktam fel.

a csöcs ott van, hogy nem is értek ehhez, de mégiscsak jobb a saját istálló.

érdekes ami a neten zajlik illegálban. érdekes.

nőjön köröm a faszára minden ilyen viágrabótnak!

Zoltán

Beparáztattál rendesen.
Azonnal lecseréltem a sajátomat, jelszavamat, új felhasználó, hosszú jelszó, default admintól elvenni minden jogot…, stb…

Szép az új wp, de nem gondoltam, hogy máris meg kell ismerni.

Erősen fontolóra vettem az áttérést vmi másra, pl. textpattern

Használt vmelyőtök mást? Tapasztalat?

Longhand

És tényleg kiszedtek az indexből, nincs bent egy oldal sem..
Küldj webmaster toolsban egy reconsideration requet-et.

XYBeR

kedves józsi, a “nem-e” szófordulat ugye csak vicc? hánynom kell tőle…

SeSam

Nem véletlen könyörög szinte térden állva a WP, hogy egy-egy frissítéskor mihamarabb töltsék is le azt. Egy ideje már az admin felület is figyelmeztet minden oldalán.

Bártházi András

Nem reklám céljából, így nem is linkelném be a dolgot, de pont ezért szeretnék egy olyan “prémium” blogszolgáltatást beindítani, ahol a tárhely szolgáltató veszi le a válladról a folyamatos frissítés, karbantartás gondját. A WordPress szerintem a legkirályabb blogmotor, de tényleg gyakran frissíteni kell, ha nem akar gondot az ember.

Saabi

De lehet használni a wordpress.com-ot, ahol a szolgáltató leveszi az ember válláról a frissítés problémáját.

Dragon Z.

Agogy Józsi mondja: tessék rendszeresen és azonnal frissíteni, amint valami biztonsági frissítést kiadnak. Nyilván nem poénból dobálják az ilyesmit akár hetente is. Mindazonáltal ha valaki nyugodtan szeretne aludni manapság, és spamet sem akar, próbálkozhat a Textpattern-nel – a logika/lényeg ugyanaz, csak wp után egy kicsit szokni kell.

cadmagician

“tessék rendszeresen és azonnal frissíteni”: ergó legyek én a wp-ért, nem pedig ő énértem. szép kilátások…

WishMyLove

Pont most akarom betesztelni a WordPress-t, jó hogy most már ezt is tudom hogy törik mint gép. Bár nekem csak arra kell, hogy tudjak rá dizájnolni templatet, én tökéletesen megvagyok elégedve az ExpressionEngine-el. Bár amennyit azzal is szoptam…

suexID

cadmagician: ne haragudj, de ez egy szar felfogás. Ilyen erővel az autódat se vidd szervízbe, várd meg, amíg beszarik a fék meg a kormánymű (lehetőleg egyszerre) és 180-al burcsázol álá egy viaduktból.

Sajnos a 2008-as hi-tech világban a biztonsági frissítések alapvető fontosságúak, ezt vagy elfogadja valaki vagy nem, de mindenképp így van.

Bártházi András

Ez a WordPress blogszolgáltató beharangozója: http://wpress.wish.hu/ (és http://webakademia.hu/2008/06/premium-blogszolgaltatas/)

Nem hiszem, hogy a konkurens termékekben kevesebb hiba lenne, de valószínűleg a hackerek az igencsak elterjedt WP-re mennek rá (“majdnem” ugyanaz mint a Win-Mac vírusok ebből a szempontból – de az idézőjel nem véletlen). A gyakori frissítéssel és backupokkal lehet valószínűleg a legjobban küzdeni a betörés ellen.

AD: téged meg mivel nagy reklámerővel bírsz, szívesen hosztolunk a szolgáltatás keretében ingyen is ha gondolod. 😀

Bártházi András

Pionírkodásra a WordPress “nightly”, SVN verzióját ajánlom. Nagyon kényelmesen frissíthető (“svn up” parancs…), és lehet nézegetni a friss fejlesztéseket, meg néha a friss hibákat (nem szoktak vészesek lenni). 🙂 Expression Engine-t én nézegettem (távolról), de a WordPress még mindig kiforrottabbnak, szebbnek, ügyesebbnek tűnik. De írhatnál róla hogy miért szimpatizálsz vele, valami hasonlót mint én írtam a WordPressről (http://webakademia.hu/2008/05/miert-wordpress/ – bocs a sorozatos linkelgetésekért), azt jó lenne olvasni.

WishMyLove

Az ExpressionEngine akkor jobb ha komplexebb site-ot (blogot) akarsz készíteni, hiszen nem csak blog készítésre jó ezért is favorizálják a dizájnerek jobban, mert könnyen összepattinthatsz vele kisebb-közép szájtokat. Én pl. több mint 1 éve foglalkozom vele, volt már kb. 20-30 full reinstallom mert szétvágtam valamit, de a végeredmény megérte:
http://www.newconcept.hu

András bár nem nekem írtad de köszi a tippet, írok majd 1 postot a blogomba miért jó az ee , úgyis azon gondolkoztam kéne már vmi postot írnom 😀

suexID

WishMyLove: zsír oldalad van, gratulálok. Mondjuk nekem csak a frissítés gomb harmadszori megnyomására hozza be normálisan, előtte fehér lapokat adogat! 🙂

wice

jozsi, ha nem az volt, amit irtam, akkor mi? valahanyszor rakerestem a plastikra a google-lel (miutan toroltem a cachet), az elso result a plastik.hu volt, de a linkre kattintva az anyresults.net-re kerultem. a cikk cime “WordPress AnyResults.net Hack – Search Engine Visits Redirecting to AnyResults.net” volt. ha ez a mostani egy ettol fuggetlen dolog, akkor egyszeruen kettot szoptal be egyszerre.

Bártházi András

gergely: sajnos/nem sajnos, a Drupalban is vannak bugok. Talán tegnap kaptam három, különböző külső modulokat érintő security alertet (bár mintha az egyik a Drupal magban lett volna). Ott sem árt a folyamatos frissítés. 🙂

greg

wordpress-nél már csak a joomla nagyobb exploit bánya, amatőrök számára nem javasolt a használata éles rendszerben. amúgy pár hónapja nálam is volt hasonló wordpress fíreg, de nekem mákom volt mert vmi oknál fogva először egy-egy cikkről leszedte a kommentelési lehetőséget és innen vettem észre hogy vki ólálkodik a rendszerben. aztán ment kis viagra meg xanax linkek kikapálgatása jól. de most hogy te is ígyjártál, ma este azt hiszem én felrakom a latest wordpress-t, nem várom meg amíg megint jön vmi átok a jelenleg fennlévő verzióra…

WishMyLove

suexID thx! Az általad látott problémával egynelőre más nem talált meg és én sem tapasztalom (pedig az elmúlt hónapban kb 30.000 junikom volt hála a css galériáknak). De nem is ez a lényeg, hanem a WordPress.

Esetleg tudna nekem valaki ajánlani WordPress templatezéshez dizájnoláshoz valami hasznos info site-ot, mert akarok gyártani egy free hc templatet hozzá, aztán pedig többet ha sikeres lesz…

A joomlát én sem ajánlanám, több ismerősöm kipróbálta tetszett nekik aztán köpködés lett a vége 🙂

_psc_

Józsi, valahol ezt olvastam:

“Már Lenin is megmondta:
backunyik, backupnyik, i backupnyik!”

Ha neked is lett volna backupod, nem kellett volna kézzel túrni az SQL-t, meg a könyvtárban levő fájlokat. 🙂

_psc_

De azért meg kell hagyni, kurvára okosak ezek a mai hackerek, spemmerek!
És azt is érdemes észrevenni, hogy a Gogole mekkora jelentőségű valami, hogy hackerek, spemmerek csak azért törnek meg oldalakat, hogy jó helyre kerüljenek a találati listában…

A.

ha mar wordpress: feltuno, hogy mas blogmotorkkal ellentetben ha wordpresses blogot renderel a bongeszo, felbog a laptopom. itt is, a judapesten is feltuno, hogy 100 kommentnel, vagy hosszu bejegyzeseknel mar nagyon erolkodik oldalletoltes utan a processzor.

szantaii

greg: Pont ma reggel vettem észre az egyik postban a rengeteg linket. Véletlenül nyomtam mellé, mikor megláttam, hogy korábban írt postom scrollbarja milyen hosszú az editorban. Lescrolloztam és láttam, hogy be volt lőve 100-150 hidden spam link. Egyből jött a para, hogy most mi van, végignéztem az összes postot és szerencsére csak 1-et találtam, ami szét volt spammelve. Tény, hogy a régi 2.1.3-as WP van fenn. Frissítéssel meg az a gond, hogy a szolgáltatómnál van valami gebasz, amiért nem megy a 2.5.

tamas

az ee meg barmelyik php szarkupac akkoris szarkupac marad, ha fizettek erte, vagy ha najtli bildeket toltotok le.

a hude-szetvagtam-installoltam-husszor mentalitashoz meg csak annyit, hogy: http://www.newconcept.hu/index.php/data/portfolio/

index.php/data/portfolio, 2008

I LAF

legalabb valami url rewrite-ot tessek alkalmazni, ha fizetsz (:

PeBa

Ez azért jó, mert ha van több száz blogod akkor jó kis szombat esti szórakozás az ilyen. WordPress MU-t is érinti amúgy? Vagy cask a singleplayer WP a beteg?

Longhand

Ha már kommentek meg stb.,
Józsi, telepítsd a ‘subscribe to comments’ plugint, azt sokan szeretik használni.

lix

igy jar aki valami opensource szemetet hasznal a jolmukodo apple megoldas helyett blogolasra 🙂

Handras

En blogomat reggel megprobaltam updatelni, jol tonkre is tettem. Nem ertek hozza, es nem is akarok.

Lix: nem akarod atkoltoztetni a blogomat xms melle? Fizetek 🙂

tamas

jozsi: ha ilyeneket mondasz, akkor csak halkan tedd. meg jo, hogy nem vagy rendszermernok.

WishMyLove

Tamás lehet hogy szerinted 1 szarszemét fos kupac az ee, én viszont megvagyok vele elégedve. Igaz hogy vannak benne baromságok pl, a members modul über gáz, de ha utánna tekersz jobban a support fórumokban belső hackel megtudod csinálni faszára. Az url rewrite meg nem érdekel. Viszont az igen hogy te eddig mit tettél le az asztalra, hogy igy leszarozod az ee-t meg a php-t. Vagy csak így 1szerüen te vagy Tamás a pc mögül? 😉

thx

tallian.miklos

Tamas, valóban, nyilván sokkal biztonságosabb volna FORTRAN nyelven blogmotort írni, opcionálisan lyukkártyás inputtal. Az olvasó elküldené a lekérdezést leíró input fájlt e-mailben (snail mailen), az operátor lefuttatná a lekérdezést, majd visszaküldené az eredményt.

tamas

miklos: te maradj inkabb az atomnal (: en se pofazok bele olyasmibe, amirol csak olvastam valami szkifimagazinban meg a fustoss-fizikaban.

wishmylove: igy van, en vagyok tamas a pc mo:gul, aki utalja a pehapekokanyt. nem arrol van szo, hogy nem lehetsz vele megelegedve, nyilvan megelegszel egy kispolszkival, ha nem ismered a bmw-t. masreszrol, amikor eles rendszerhez a “hack” szo tarsul, az nem sok jot jelenthet. amugy java-fejleszto, solaris istn (haha), meg lassan idm szakerto (haha2).

segabor

A post után jól megijedtem és frissítettem saját WordPress motoromat. A plastik.hu-nak köszönhetően tegnap este már jól aludtam.

PeBa

Van olyan, aki ölbetett kézzel ül ha kijön egy frissítés? Miért nem teszi fel midnenki? Erről nekem az jut eszembe, hogy a barátaim, akik a szutykos XP-ken a biztonsági frissítést semmibe nézik (meg bármilyen más szoftvernél is), azok állandóan szívnak a rendszerrel. Hogy lehet akkor, hogy nekem meg hosszú hónapokon keresztül minden jó? Pedig csak az update gombot kell megnyomni. De lehet, hogy csak magamat idegesítem ezzel.

snufkin

BA: regarding drupal security: 5 SA jott juni 11-en, ebbol 1 nem is a Drupal-ra vonatkozik (beneztek a szekjuritis cegnel) a masik negy pedig contrib

Drupal-t nem ismeroknek: drupal-hoz a kulonbozo pluginek (=modulok) ket felek lehetnek, contributed, ilyeneket barki irhat, es felteheti a drupal.org/project/ oldalra, illetve core. Core modulok szigoruan auditaltak, es csak par embernek van commit joga a repository-ba, a patch-eket altalaban eleg sokan atnezik. Ugy altalaban a core kod minosege messze magasabb, mint atlagos contrib.

Contribfoldon temerdek modul van, es a szamuk exponencialisan no, ergo hogyha allando is a kod minosege akkor egyre tobb biztonsagi bejelentest olvas az ember, ezert nem erdemes ezek szamabol a Drupal biztonsagara vonatkozoan kovetkeztetni.

Core bugot erinto SA utoljara aprilis 9-en jott ki, Drupal 6.x-re (x<2) vonatkozoan (ez mondjuk egy eleg kinos bug volt).

lix

tamas +1

kurvara koze nincsen a nepszeruseghez a kodminosegnek

a wp -ugyanugy mint az osszes takolt/patkolt FOSS enginek- szar

ennyi

Haszprus

> kurvara koze nincsen a nepszeruseghez a kodminosegnek

annak nyilván nincs, csak a felfedezett hibák számának

Zoltán

Fasza, ma engem is kizárt a google, pedig ennek a cikknek a megjelenésekor frissítettem, jelszócsere, stb…
Viszont hiába nézem a forrását az oldalnak, nem találom a kifogásolt részt.

fds

Zoltán, bizony a tied is meg van hekkelve.
valószínűleg még akkor történhetett, mielőtt frissítettél volna az új verzióra.

azért nem látod a forrásban könnyedén, ahogy angelday is leírta, mert cselesen csak akkor nyomja bele a spam linkeket, ha a böngésződ Googlebot user-agentet küld át. hétköznapi böngészők, Safari, Firefox esetén nem rakja be őket, így sokkal tovább tart, mint bárki észreveszi, hogy gáz van.

ezért kellenek pl ilyen parancsok a tesztelésére:

curl –user-agent Googlebot CÍM
vagy
wget -q -O – –user-agent Googlebot CÍM

Safari 3-ban a Develop menüben az User Agent pontban az Other-t választva lehet tetszőleges dolgot beírni, ide írd be, hogy Googlebot.
(A Develop menüt esetleg előbb engedélyezned kell a Preferencesben, az Advanced fülön van a Show Develop menu in menu bar kapcsoló.)

Zoltán

Fds, köszönöm. Próbáltam most a leírásod alapján Safari 3.1.1-ben az Other-be beírni az általad megadott stringeket, de nekem semmi sem történt.
Kell telepítenem vmit?

fds

Zoltán, úgy tűnik, megoldottátok a problémát, ma már számomra is eltűntek a spam linkek a blogodról, akárhogy is nézem, holott tegnap még ott voltak, Googlebotként betöltve.

Hacsak nincs még ilyen disznóság is beépítve ebbe a hackbe, hogy mondjuk bizonyos napokon egyáltalán nem jelenik meg, hogy még nehezebb legyen észrevenni.

Zoltán

Fds, nekiugrottam a hibaelhárításnak, ezért tűnt el.

Angelday által javasolt oldal és a
http://www.teohuiming.name/blog/wordpress-exploit lépésein mentem végig:

A Curl-t viszont még most sem vágom. Hogyan tudom én is ellenőrízni a blogom ezzel?

Próbáltam a leírásod alapján Safari 3.1.1-ben az Other-be beírni az általad megadott stringeket, ok-ztam, de nekem semmi sem történt. Az oldal nem töltődött újra, az oldal forrása nem változott.

fds

Safari nálam rögtön újratölti az aktuálisan nyitva levő oldalt az User Agent váltáskor, és attól kezdve azt a user-agentet használja a továbbiakban arra a fülre vonatkozóan.

A curl csak egy böngészőtől független parancssori alternatíva lett volna ugyanerre. Mac OS X-ben alapból bent van és legtöbb Linux disztribúcióban is, de Windowsra is le lehet tölteni:
http://curl.haxx.se/download.html#Win32