Этот пост может быть полезен владельцам сайтов, использующих стандартные движки типа WordPress. Как, например, я.
Однажды был неприятно удивлен тем, что сайт (вполне нормальный блог) выпал из индекса поисковой системы Яндекс. Начал разбираться в чём тут дело, натолкнулся на несколько исходящих ссылок, которые я не ставил. Несколько – слабо сказано, добрых два десятка. Похоже, что сайт словил АГС-фильтр за торговлю ссылками, только вот я ими не торговал.
Начинаем разбираться. Прежде всего воспользуемся любым сканером внешних ссылок:
Как видим, много всякого г-на, которое я бы никогда не поставил в здравом уме. Видать, кто-то продает кучи ссылок в системах типа SAPE. Хех, ну чтож, буду выковыривать заразу.
Первым делом смотрим HTML-код разных страниц:
Нашел какую-то вставку. Вот это я никогда не ставил. А посмотрите на стилевое оформление – #posts с позицией -1960px слева, чтобы не было видно пользователю. Заметить ссылку не реально, а фактически она есть. Ну чтож, будем искать comments-area:
# grep -r 'comments-area' ./*.php
Я решил, что оно будет в PHP-файле хранится.
Для тех, кто не знаком с PHP поясню, нашелся фрагмент когда, получающий ссылки с удаленного сервера и выводящий на страницу (echo), впоследствии я закомментирую вызов функции, мне не нужен лишний трафик.
Заинтересовал файл functions.php:
И вот ещё фрагмент:
Поясню коды:
Создаётся запрос на удаленный сервер http://wpconfig.net/ на страницу system.php, которая возвращает список ссылок для размещения на странице. Далее скрипт выковыривает из ответа ссылки, создает графический файл с MD5-захешированным адресом странице, внутри которого лежат ссылки и внедряет их на место странице левее видимой части окна так, чтобы скрыть от пользователя.
Выведу содержимое одной из “картинок”:
# cat <md5-хеш>
Всё верно, внутри “картинки” блок ссылок.
Ну чтож, уберем некоторый функционал, чтобы уберечь себя от зловреда. А на сайт злоумышленника будет отправлена абуза всех поисковиков и антивирусных систем, чтобы пресечь процветание гаденыша.
Comments: