Hacknutý WordPress a skrytý obsah

Hacknuté, či spíše napadené redakční systémy jsou velkým problémem současnosti. Od začátku roku 2015 hlásí Google nárůst počtu žádostí o znovuposouzení webu, které byly penalizované z důvodu nebezpečného obsahu, o neuvěřitelných 300 %. Celkový počet takovýchto penalizací stoupl o 180 %. Není se tak čemu divit, že se snaží webmasterům pomáhat osvětou a kampaní #NoHacked.

Problém v současné době je, že stále větší množství lidí, kteří musí napadený web řešit jsou prostě BFU. Tedy běžní uživatelé, kteří využili nějakého instalátorů aplikací a mají WordPress. Nemusí vědět, co je to FTP, MySQL a už vůbec ne PHP. Což dříve bylo nemyslitelné. Člověk alespoň se základními znalostmi programování si dokáže s nebezpečným kódem na stránce poradit. Běžný uživatel však nikoliv.

Skrytý obsah

A teď si představte, že útočníci, kteří vyvíjejí malware museli po dlouhá léta bojovat se zkušenými lidmi z oboru. Ti jakmile zjistili, že je něco špatně, tak začali jednat. Běžný uživatel klidně bude ignorovat varovné signály a chovat se ke svému webu jako aplikaci na mobilu, která jednou za čas může zlobit. Jenomže web nemůže zlobit. Nic se neděje jen tak. Nemůže se vám prostě objevit cizí reklama anebo přesměrování a pak budete čekat jestli to při dalším reloadu anebo za dobu několika hodin zmizí. Žádné vypnout a zapnout. Prostě to řešíte a hledáte problém.

Právě schopnost maskování byla pro přežití malware podstatná. Čím později jí webmaster objevil, tím více se mohl rozšířit. BFU tedy pomáhají malware šířit a i to stojí za jeho nárůstem.

Ale vraťme se k problému skrytého obsahu na napadených webech. Právě to je jedna z metod jak si prodloužit život. Základem je schovat se před administrátory. Zatímco u vlastního řešení to byl pro robota náročný úkol, tak  u rozšířených redakčních systému jako je WordPress, už to je o něčem jiném. Jakmile má skript přístup do databáze, dokáže z ní získat informace o administrátorovi. Ovšem u WordPress poznáte přihlášeného administrátora, tedy pokud se jedná o stejný prohlížeč.

A tady se dostáváme k základnímu problému. Máme tu napadený WordPress, kde je nějaký skrytý kód. Ten se zobrazuje všem jenom ne přihlášeným uživatelům (tedy i administrátora). Administrátor, tak nemá možnost zjistit, že se něco děje. Například nevyskočí varování od antiviru anebo nedojde k akci na straně prohlížeče (přesměrování, objeví se odkazy atd.). Je tak třeba přistoupit k nějaké metodě jak si obsah zobrazit.

Jak na zobrazení skrytého obsahu

Základní metoda je použít jiný prohlížeč. Ostatně pro přihlášení byste měli používat vyhrazený prohlížeč, bez doplňků, který důvěřuje jen vašim webům a obecně s ním nenavštěvujete nic jiného. V něm pak provádět všechnu administrátorskou činnost. Druhý prohlížeč pak používat normálně. Samozřejmě v ideálním případě se můžeme bavit dokonce o samostatném počítači, třeba i virtuálním, ale to už je trochu hardcore varianta. Mimochodem používání odděleného počítače vás ochrání například proti CSRF útoku, protože nejste k CMS přihlášení. Zvláště u cílených útoků, kdy dostanete personalizovaný email se žádostí ať kliknete na odkaz.

Ovšem pokročilejší maskování může identifikovat administrátora podle IP adres. Namátkou je získá třeba z komentářů. Takže druhý prohlížeč nepomůže.

Tady pomůže buď proxy server anebo využít možnosti Google console a služby Googlebot fetch. Ta má za úkol načíst stránku, tak jak jí vidí Google. Doporučuji toto testování zopakovat, některý malware má jako pojistku, že se zobrazí jen v 10 % případů.

Výhodou Googlebot fetch je také to, že existuje malware, který přidá na stránku odkazy na lidi co platí, ale jen když tam přijde Googlebot. Důvodem je pokus o linkbuilding. Za odkazy se totiž celkem slušně platí.

Share Button

Tento článek byl byl přečten 2525 krát

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *