تغییر فایل های هسته وردپرس برای انتشار اسپم!
یکی از بدترین حالت هایی که یک مدیر سایت می تواند تجربه کند این است که متوجه شود وب سایتش هک شده و اقدام به انتشار اسپم می کند. بدون انجام منظم بررسی های امنیتی حتی مدیران سایت ماهر نیز کنترل از دستشان خارج می شود.
وقتی هکرها به سایت شما دسترسی پیدا می کنند ، می توانند از این دسترسی برای میزبانی از محتوای مخرب ، پخش کردن بد افزار ، سرقت اطلاعات حساس و غیره استفاده کنند. در این تحلیل وب سایتی را مورد بررسی قرار دادیم که ندانسته اقدام به انتشار اسپم در قالب کلیدهای ویندوز می کرد.
اسپم و لیست های سیاه
اخیرا یک سایت آلوده را بررسی کردیم که بازدیدکنندگان آن به طور ناخواسته به سایت دیگری ریدایرکت می شدند. این نوع ریدایرکت های مخرب معمولا توسط هکرها اتفاق می افتد تا ترافیکی که حق وب سایت شماست بدزدند و به سایت دیگری بدهند.
زمانی که هکرها از سایت شما برای انتشار مطالب اسپم استفاده می کنند 2 هدف دارند:
- جلب توجه مخاطبان شما و افزایش ترافیک سایت خودشان از طریق آنها
- سوء استفاده از رتبه سایت شما در موتورهای جستجو برای بهبود رتبه خودشان
حتی بدون در نظر گرفتن اهداف آنها ، اسپم اثرات مضری روی بازدیدکنندگان سایت شما دارد و شهرت شما را در خطر قرار می دهد.
متأسفانه خیلی از مدیران سایت ها متوجه نمی شوند سایتشان در معرض خطر است ، تا اینکه یکی از کاربرانشان به آنها می گوید سایتشان در لیست سیاه قرار گرفته و یا در موتور های جستجو جلوی نام سایتشان هشدارهای امنیتی نمایش داده می شود. وقتی گوگل مظنون می شود که سایتی برای انتشار اسپم مورد استفاده قرار گرفته ، هنگام نمایش آن در نتایج جستجو زیر نام آن سایت جمله ای می نویسد و به این موضوع اشاره می کند.
در این موارد لازم است مدیران سایت مراحلی را طی کنند تا این جمله هشدار دهنده گوگل از زیر نام سایت آنها پاک شود. اگر هکر از سایت برای کمپین های اسپم و فعالیت های خرابکارانه دیگر مثل پخش کردن بد افزار استفاده کند ، ممکن است سایت توسط گوگل در لیست سیاه قرار بگیرد و هنگام مشاهده سایت ، صفحه هشدار زیر به بازدیدکنندگان نمایش داده شود.
فایل های ویرایش شده اصلی
بسیاری از طراحان سایت حرفه ای پس از اینکه متوجه می شوند سایتشان هک شده به وب سایت های متخصص امنیتی نظیر Succuri مراجعه می کنند. آنها اگر خوش شانس باشند به سرعت تشخیص می دهند وب سایتشان مورد حمله قرار گرفته. متأسفانه حملات می توانند برای روزها و هفته ها نامحسوس باقی بمانند. هکرها مدام از طریق راه های جدید ، فایل ها و محتوای مخرب را مخفی می کنند و آن را مطابق با سایت وفق می دهند تا مدیر سایت متوجه هک نشود.
در موردی که راجب آن صحبت کردیم ، مدیر سایت متوجه شده بود ، بازدیدکنندگان سایت به آدرس های مخربی هدایت می شوند. آدرس هایی مثل:
- “windows7keyonsale.com/windows-8-c-9.html”
- “allsoftwaredownload.com/windows-8-1-product-key-generator/”
تصویری که مشاهده می کنید چیزی است که بازدیدکنندگان زمانی که به سایت مخرب هدایت می شدند مشاهده می کردند.
این خوب نیست. وب سایتی که بازدیدکنندگان به دنبال آن بودند ، مخصوص فروش سریال نامبر ویندوز نبود!
اولین کاری که باید می کردیم این بود که متوجه شویم چه چیزی باعث ریدایرکت شدن بازدیدکنندگان شده. پس از یک تجزیه و تحلیل دقیق متوجه شدیم یکی از فایل های هسته وردپرس ویرایش شده و کدهای مخرب در ابتدای فایل wp-includes/template-loader.php اضافه شده.
در قطعه کد زیر ، دقیقا چیزی را می بینید که هکرها برای هدایت بازدیدکنندگان به سمت سایت خودشان ، اضافه کرده بودند.
فرار از موتورهای جستجو
این قطعه کد چه کاری انجام می دهد؟ علاوه بر اینکه محتوا را از سایت متخلف بارگزاری می کند و آن سایت را به بازدیدکنندگان نمایش می دهد ، تلاش می کند تا از دید موتورهای جستجو نیز مخفی بماند و توسط آنها شناسایی نشود. معمولا ، هدف این نوع ریدایرکت ها این است که تا حداکثر زمان ممکن ، ترافیکی را به دامنه مور نظر بفرستند بدون اینکه صاحب سایت متوجه شود. مخفی نگه داشتن محتوای مخرب از دید سایت هایی مثل گوگل ، به کمپین اسپم کمک می کند تا همچنان مخفی باقی بماند.
هکر هایی که می خواهند کمپین خود را همچنان بدون مشکل حفظ کنند ، باید محتوای اسپم را از دید موتورهای جستجو مخفی نگه دارند. برای اینکه گوگل سایت را به عنوان یک سایت آلوده نمایش ندهد ، کدهای مخرب تمام تلاش خود را می کنند تا پیدا نشوند. اگر هنگام نمایش نتایج جستجو در زیر نام سایت ها ، هشدارهای امنیتی نشان داده شود ، بازدیدکنندگان تمایل زیادی ندارند روی آنها کلیک کنند و همین کمپین بد افزارها را بی اثر می کند.
بازدید و محافظت
در هر دقیقه ، یک وب سایت هک می شود و شروع به انتشار اسپم می کند یا به اسپم ریدایرکت می شود. مقوله وب در حال از دست دادن اعتبار خود است. اگر تمام فایل ها در سایت شما بررسی می شوند و به طور منظم بکاپ گیری انجام می شود ، این می تواند کمک کند تا پس از هک ، همه چیز به راحتی به شرایط عادی بازگردد. همچنین مهم است که لاگ ها مجددا بررسی شوند و حفره ورود هکر مشخص شود تا از هک دوباره جلوگیری به عمل آید. برای پیش گیری ، استفاده از یک فایروال تحت وب و تغییر منظم پسوردها قدم های اول است که باید برداشته شوند.
منبع: Succuri.net
دیدگاه (2)
در صورت برخورد با چنین مشکلی و نداشتن بک اپ چه باید کرد ؟
اکثر شرکت های هاستینگ از وب سایت هایشان بک آپ تهیه میکنند در غیر اینصورت می توانید یک نسخه سالم وردپرس را از وب سایت اصلی دانلود کنید و فایل های آن را در هاستتان جایگزین کنید