Вредоносных WordPress в Подкаталоге устанавливает для SEO спам

Исправление зараженных сайтов , мы видим нападений, совершенных на разных уровнях сложности. Тактика злоумышленники используют для взлома сайтов обеспечивают понимание их мотивов.

Некоторые пишут элегантный код и тщательно замести следы, в то время как другие создают простые атаки, которые могут быть применены в широком смысле, но не так хорошо скрывал.

Спамеры не перестают в их стремлении использовать ресурсы взломанных сайтов, особенно в черной SEO схемы. В большинстве случаев, спам уколы и дверях скриптов достаточно трудно обнаружить. Однако в этом случае отличается тем, что злоумышленники не вложили в него много сил скрывая свое присутствие от владельца Сайта.

Злоупотребление Ресурсов Сервера

В этот спам исследования, мы проанализировали случай, в котором злоумышленники взлом сайтов получать прибыль от их СЕО и воспользоваться серверных ресурсов. Методика состоит в злоупотреблении хранение и ресурсов базы данных при установке WordPress сайтов спам (Окли и Рэй бан спам в нашем случае) в подкаталогах оригинального сайта. Мы видели примеры этого раньше и, видимо, тактика по-прежнему работает для спамеров.

Ниже приведен пример подсайта, который был установлен на взломал WordPress сайта.

Установленная сайта спам WordPress в подкаталоге
Вредоносные установки WordPress используется для спама в поддиректорию на взломанном сервере.

В отличие от вредоносных редиректов или вандализма, это типа взломать не меняет внешний вид зараженного сайта. Тактика, используемая здесь, включает в себя сокрытие вредоносных сайтов в законную каталог сайта. Установив своих сайтах спам в подкаталогах, они часто избегают обнаружения владельцем сайта, а еще злоупотреблять своими ресурсами. Сайт владельцев, которые не могут контролировать безопасность их сайте, не может обнаружить нападение, пока они не слышат жалоб от посетителей, сделать черный список, или получит уведомление от хостинг-провайдера.

Выявление Закономерностей

С SEO спам, там, кажется, не видно конца; хакеры продолжают разрабатывать новые способы заражения сайтов. Для того, чтобы бороться с этим, важной обязанностью нашего исследования и восстановления команд, чтобы выявить закономерности.

В ходе нашего исследования, мы выделили три сходства между сайты заражены этим типом впрыска.

  • 1. Злоумышленники Добавлено 2 папки в корневом (./oakleyer и./raybaner) с WordPress установок (В4.0.12).
  • 2. Злоумышленники забрали учетных данных базы данных из wp-config.php оригинальный сайт, и использовать разные префиксы для спам в WordPress дочерние сайты.
  • 3. Там были также четыре отдельных файлов, которые помогли автоматизировать блог управления в обоих ./oakleyer/WP-администратора и ./raybaner/WP-администратора:
    • etchk.php – проверяет, если есть пост в базе данных с данным заголовком.
    • etpost.php – создает или обновляет спам-сообщений в базе данных.
    • etreply.php – посты комментарии.
    • map.php – создает карты сайтов для спама подсайтов.

Вместо того, чтобы использовать XML-шлюз по API (удаленный вызов процедур), чтобы обновить суб-сайты, мы видим, что они вставлены четыре .PHP-файлов для автоматизации управления Вордпресс. Автоматизация ведения блога позволяет хакерам получить обновление постов и комментариев на нескольких суб-сайты, спам сразу.

Использование Консоли Google Поиск

Как вы знаете, если злоумышленник спамит свой сайт?

Хотя и не всеобъемлющее исследование, быструю проверку можно легко сделать через поиск в Google консоли. Если вы видите несвязанные поисковым запросам, он’с сильным указанием СЕО хак. Другой простой поиск [site:you-site-domain-here.com дешевые] может также обеспечить понимание. Ключевые слова как “дешево” и “бесплатно” часто используются спамерами. Это хорошие условия, чтобы проверить, если вы подозреваете, что ваш сайт может быть взломан. Если поиск возвращает страницы, которые не относятся к вашему сайту, спамеры могут использовать его.

В данном случае было легко определить вредоносные папки в корневом сайте. Простые правила именования (./oakleyer и ./raybaner), используемые для дополнительных каталогах четко указано, что мы нашли солнцезащитные спам месте. Однако, это нереально, чтобы вручную проверить целостность файлов и структуры сайта каталог постоянно. На самом деле, многие хакеры рассчитывать на то, что владельцы сайта не оставаться бдительными.

Более надежным подходом является целостность мониторинг серверов файловую структуру в рамках полной безопасности веб-сайта решение Компания СтопВирус.