Alacakaranlık bölgesinden spam ile savaşmak
Jetpack’te, çeşitli tehdit ve web saldırıları türlerini ele almak rutinimizin bir parçasıdır. Çoğu zaman, tehlikeli dosya toplamak ve saldırı vektörleri bulmaktan, en son rezervlerden web sitelerini kurtarmak için yardım sağlamaya kadar değişir. Ancak bazen gerçekten yaratıcı saldırıların farklı bir boyutuna, yeniden enfeksiyonun boyutlarına gireriz-Alacakaranlık Bölgesi’ne gireriz. Tamam, çok dramatik olabilirim, ama bu gizemli hikayenin sahnesini düzenlediğimde sabırlı ol. Hazır? Hayaletler, spam ve arama motorları alanına giderken bana katılın.
Kötü davranışımız çekici bir saldırı altında olan bir web sitesi bulur. Bu ilk olarak Google Search Console tarafından gönderilen bir e -posta olarak göründü: Nadir URL (ve çok şüpheli URL, içine tıklanabilecek URL’lerle) en üst sayfalar olarak kaydedildi.
Web sitesi sahibi biraz üzgündür, çünkü bu davranış genellikle enfeksiyondan kaynaklanır, ancak Jetpack onları hiçbir şey hakkında tespit etmez veya uyarmaz. Ayrıca, bu sayfalar onları kontrol ettiklerinde web sitesinde bile değil, ancak hala Google tarafından dizine ekleniyor. Alacakaranlık bölgesi giderek yoğun.
Jetpack taraması tarafından kaçırılabilecek şüpheli dosyaları kontrol ettiğimizde (güvenlik cihazı% 100 tehdidi algılamaz), her şey daha garip hale gelir. Temel WordPress ve eklentiler sağlam kalır: veritabanına hiçbir dosya veya komut dosyası enjekte edilmez. Bazı eski eklentilerin herhangi bir güvenlik geliştirmesi yoktur, WordPress bir sürümün (5.6) arkasında kalır ve en son güncellemeler büyük güvenlik iyileştirmeleri içermez. Hiçbir şey şüpheli değildir. Sıradan şüpheliler yok, saldırı kanıtı yok; Henüz değil, gerçekten. Bir sonraki mantıklı adım, erişim günlüğünü kontrol etmektir. Belki bu gizemi açıklayabilir. Sıfır günlük saldırılarla karşılaştığımızı veya nihayet çoklu evren teorisi için kanıt bulduğumuzu ve bu web sitesi sadece #1337 Evrenine enfekte olduğunu görecek miyiz? Günlük için! Bu garip spam için istek Görünüşe göre Bing de bunu seviyor … ama neden? Beklediğiniz gibi: Ekran görüntülerinde gördüğünüz gibi spam sayfasına birçok istek dışında garip bir şey yoktur. Ve hepsi “ 200 Tamam ” döndü. Öyleyse, sayfa bir zamanda bir yerde, ya da … bir dakika … şimdi görüyor musunuz? Bu sayfaların tümü aynı konuma atıfta bulunur: `/? S =`, yani arama motoru (sorun Google tarafından bilinir, ancak istek Bing’den geliyor) arama sonuçları sayfasını dizine ekliyor. Ve neden böyle? Paletli, bildiğimiz kadarıyla sayfada arama yapmadı, değil mi? Web sitesi işinde yer alıyorsanız, paradoks indeksleme temelleri arama motorlarının nasıl çalıştığı oldukça kolaydır. Web sayfalarını tarayan, içeriklerini dizine ekleyen, bazı mucizeler yapan ve bulutta bir yerde talep edilebilecek kaynakları saklayan robotlar (veya otomatik komut dosyaları) vardır. Bunu hatırlayarak, referans gibi başka talimatlara sahip olan bu tür istekler olup olmadığını görmek için biraz daha fazla günlük kazıyoruz, ancak hiç çalışmıyor. Kaydedilen tüm talepler arama motorlarından gelir. Neyse ki, Google Search Console günlüklerden birinde referans sayfalarından birine sahiptir. Google’ın arama konsolu araçları bizim için bazı talimatlar sunar. Şimdi Alacakaranlık Bölgesi şapkamızı bir CSI şapkasıyla değiştirmenin ve mikroskop altına yerleştirilecek bazı web sitesi kemiklerini kazmanın zamanı geldiğini düşünüyorum. Eğitimli gözler için, referans sayfası URL’sinin sızmış web sitesine ait olduğunu görmek kolaydır; Neyse ki, gözlerini eğittik! Dizin ‘index.php` mantıklı değildir ve web sitesi sahibini karıştırmak için eklenebilir. Ayrıca, nihai şarjı alan bir yükleyici olabilecek rastgele bir ada sahip başka bir rastgele dizin ve PHP dosyası: ‘CarGese4/CCA442201.htm`, aynı zamanda rastgele. Tüm bunlar kötü amaçlı yazılım pazar enfeksiyonlarının bir özelliğidir.
Yönlendirme sitesi için neyin endekslendiğini görmek için Google’da hızlı bir arama, gerçekten enfekte olduğunu ve bir süre spam SEO’ya hizmet ettiğini doğrular. Bu site Hindistan’daki gıda şirketleri içindir, ancak Japonya’da SUV teklifleri sunmaktadır – evet, spam. Arama talebi, Hint sitesinde Japonca spam getirdi.
Ancak, hiçbir sonuç arkadaşımızın web sitesine bağlı değildir, bu yüzden diğer sitelerin aynı garip davranıştan etkilenip etkilendiğini bulmaya karar verdim. Bu spam saldırısının daha fazla kurbanını bulmak için, sadece eğitim amaçlı olarak, biten siteyi geri yükleyecek bir arama sorgusu yapmak için Google-FU bilgimizi kullanıyoruz. Başlıkta. Ve 22 sonuç aldık. Bu bizim için avlanmak için yeterlidir. Siteyi kullanmak. EDU ve .gov, sadece tarım bağlantıları için yapılmış olan spam enfeksiyonları filtreleme alanlarını (.com gibi) incelemek için. Bu, bildirilen sitenin etkilenen tek sitenin olmadığının kanıtıdır; Daha geniş bir sorun gibi görünüyor. Google’ın bu sayfaları dizine ekleyebileceğini yansıtıyoruz. Googlebot onlara nasıl ulaşıyor? Bir sonraki adım: BackLink Denetçisi.
Backlink sınavının sonuçları Web sitelerine geri dönme hakkında raporlar sunan birkaç çevrimiçi araç vardır; Bu çalışmada kullandığımız şey Ahref’lerdir, ancak diğer araçlar aynı sonuçları elde edebilir. Sonuçlarda bazı tehlikeli arama sayfaları listelenmiştir ve doğru yolda olduğumuzu teyit eder.
Neler olup bittiğini kontrol etmek için web sitelerinden birini seçerek, bir sonraki ekran görüntüsünde görebileceğiniz gibi yaklaşık 5.000 spam yorumu görüyoruz (anti-spam jetpack’i kontrol etmek zorundalar). Her yorum, sorguda spam ile web sitesi arama sayfasına bağlanır. Spam’e Bağlantı Yorumları
Beyaz tavşanları daha önce bahsettiğim gibi yakalayan arama motoru robotları web sitesi sayfasında sorgular yapmadı.Ancak, orada bir bağlantı bulursanız, takip edilecektir.Ve sayfa otomatik komut dosyasına belirli bir sayfanın dizine eklenemeyeceğini söylemiyorsa, ekleyecektir. Spam enjekte ediyorsunuz
Bu, arama makinesi sonuçlarına spam göndermek ve kolay bir -do Gölü çiftçiliği aracılığıyla site sayfalarının sıralamasını artırmak için web sitesine “enjekte etmek” için akıllı bir yöntemdir.Şimdi sorunu anladığımıza göre, arama motoru botuna arama sayfasına bağlantıyı takip etmekten kaçınmak için nasıl söyleriz (veya sadece dizine eklemeyi reddediyoruz)?En iyi yol, tüm topluluğun korunmasına yardımcı olacak WordPress Core’da değişiklik yapmaktır (bir hata bildirmek veya koda katkıda bulunmak istiyorsanız, lütfen bize katılın). Gereksiz yeniden çalışmayı önlemek için, WordPress Core’un ayak izlerini kontrol ediyoruz ve sürüm 5.7’de çözülen bu sorunu buluyoruz, ancak maalesef bir güvenlik sorunu olarak ChangeLog’a girmedi. Bu sorunun olabildiğince daha iyi olduğunu açıklayan yazarı alıntı yapacağım (rapor için teşekkür ederim): Spammer Web, spammer sitesi sıralamasını artırma umuduyla spam ve ana bilgisayar adını göndererek site arama özelliğini kötüye kullanmaya başladı. arama. Spam gönderenler, bu bağlantıyı açık wiki, blog yorumları, forumlar ve diğer bağlantılara koydu, bağlantılarını tarayan arama motorlarına dayanıyor ve daha sonra spam içeren içerik ile üretilen arama sonuçları sayfalarını ziyaret ediyor ve dizine ekliyor. Bu saldırı şaşırtıcı bir şekilde oldukça yaygındır ve dünyadaki birçok web sitesini etkilemektedir. Özel bir yazılı kodla desteklenen bazı CM’ler ve siteler, ilk araştırmaya dayanarak bu tekniğe karşı savunmasız olsa da, en azından. Web’deki en büyük sitelerin% 41’inden fazlası WordPress siteleri olduğunda bu şaşırtıcı değildir. Davanın kapatılması Bu olaydan öğrenilebilecek bir dizi iyi ders var: En iyi gelişmekte olan sayfada görüntülenen URL iyi düzenlenmez, bu nedenle gördüğünüz spam URL’si emojilerle ayrılır aslında doğrudan tıklanabilir (o Arkadaşlar Google’ın size kalmış); Bilinçsiz kullanıcılar üzerine tıklayabilir ve istenmeyen içeriğe erişebilir.
Açıkça spam içeren sayfaları indekslemekten kaçınmak için Google tarafından bazı ayarlamalara ihtiyaç vardır.Araç raporuna dayanarak, spam eklenirken açıkça taranmış ve endekslenmemiş birkaç sayfa eklenir. Saldırı, sisteminizdeki en küçük boşluktan yararlanacak ve herhangi bir zamanda uyanık olmalıyız. Her zaman insanları dinleyin ve sorunlarını anlayın.Günlüğü sadece kendi araçlarımızdan kontrol edersek, bu sorunu bilmeyeceğiz veya sitelerini geliştirmeye yardımcı olabiliriz.
Yazılımınızı güncelleyin.Hep.
Jetpack’te, web sitenizin bu tür güvenlik açığından korunmasını sağlamak için çok çalışıyoruz.Yeni tehditlerin bir adım önünde kalmak için, güvenlik taraması ve otomatik kötü amaçlı yazılımların kaldırılmasını içeren JetPack taramasına bakın.Ve bu sorunu vurgulamak ve soruşturmaya yardımcı olduğu için Erin Casali için bir şapka ipucu.
