در مورد حمله ی «فارما هک» به وردپرس، یا چطور می شود که وبلاگ یک آدمیزاد به فروشگاه ویاگرا تبدیل می شود
توسط کمانگیر در روز 12 آگوست 2010آگوست 12
مدتها بود که می دانستم که اگر «کمانگیر» را در گوگل جستجو کنی، در صفحه ی نتایج جلوی اسم این وبلاگ نام انواع داروها و تقویت کننده های جنسی ردیف می شود.
مساله ی اساسی این بود که ظاهر وبلاگ هیچ ردی از این مهمانان ناخوانده نشان نمی داد،
اما کش گوگل نشان می داد که کسی در خفا کنترل این وبلاگ را در دست گرفته است.
همین تضاد بین ظاهری که من می دیدم و ظاهری که گوگل می دید من را به این اشتباه انداخته بود که مشکل از کش گوگل است و حل خواهد شد.
بالاخره هیاهوی بی ربطی من را به صرافت این انداخت که سر از راز این مساله دربیاورم.
چند ساعت جستجو نشان داد که هکر/هکرهایی از قدیمی بودن نرم افزار وبلاگ های مبتنی بر وردپرس استفاده کرده و در یک ترفند سه مرحله ای کلمات کلیدی دلخواه خود را در آنها جاسازی کرده اند. این ترفند به نام Pharma Hack، یا «هک داروخانه ای»، شناخته شده است و در تالارهای گفتگوی وردپرس و گوگل می توان رد آن را پیدا کرد. یک جستجوی ساده در گوگل هم نشان می دهد که وبلاگ ها و وبسایت های زیادی در این حمله مورد آسیب قرار گرفته اند.
اما نکته ی مهم در «فارماهک» این است که کدی که در نرم افزار وبلاگ وارد می شود در زمانی که یک آدمیزاد به وبلاگ یا خوراک آن سر می زند فعالیت خاصی از خود نشان نمی دهد. این کد به روبات گوگل حساس است و زمانی که این روبات در دوره های منظم خود به هر وبلاگ سر می زند، «فارماهک» ترتیبی می دهد که عنوان و متن وبلاگ پر از نام انواع داروها، از جمله ویاگرا، باشد. این همان تفاوت مهم بین دو تصویر بالا از «کمانگیر» است.
یک راه خوب برای دیدن این وضعیت استفاده از ابزار Fetch as Googlebot در Google Webmasters است. علاوه بر این از ابزارهایی نظیر این هم می توان استفاده کرد (دقت کنید که User-Agent را Google Bot وارد کنید).
در بین توضیحاتی که در مورد «فارما هک» پیدا کردم این متن بهتر از بقیه بود. در نهایت من هم با صرف حدود چهارساعت از روی این متن زیردامنه های مختلف کمانگیر را آلودگی زدایی کردم. همانطور که اینجا توضیح داده شده، «فارما هک» یک فایل کوچک در کد وردپرس وارد می کند، بعد یک یا چندتا از پلاگین ها را آلوده می کند و در نهایت کد خود را در بانک اطلاعاتی وبلاگ پنهان می کند. این کدی بود که من در یکی از زیردامنه های کمانگیر پیدا کردم.
بخشهایی از کد را محو کرده ام، چون نگران بودم این کدهای Hash شده اطلاعاتی از بانک داده ی این وبلاگ در خود داشته باشند.
مرتبط: توضیح بیشتر از کیا طاهری عزیز: بررسی اتهام وارد شده به «کمانگیر»
[…] More in Persian Kamangir […]
آرش جان شما خودت رو خیلی ناراحت نکن. به هر حال وقتی به عقیده یکی از بزرگان همین جماعت زلزله در اثر قر کمر و سایر عوامل (!) به وچود می آید توضیح فنی و علمی برای اینکه چرا بلاگ شما هک شده و اثرات این هک شدن چه بوده آب در هاون کوبیدن است.
از همه خنده دار تر اما، اتهام وطن فروشی به شما به خاطر هک شدن بلاگ تان است. از جمله نوع کلمات کلیدی استفاده شده برای همان پست خرچنگ! (آرش آبادپور, دروغ, قالتاقیسم, وطن فروش, کمانگیر)
ادب مرد خیلی وقت است که “به” از دولت او نیست، البته اگر ادب و دولتی وجود داشته باشد!!
کمانگیر جان این که می خواهی کد وبلاگت تمیز باشد یا نباشد به خودت مربوط است. زحمت کشیدی از ویروس و جک و جونور پاکش کردی. اما اگر در مورد این جنجال بی مورد نمی نوشتی و اعاده حیثیت نمی کردی و لینک هایت را دنبال نمی کردیم از این اتهامات هم با خبر نمی شدیم.
هدف این آدم ها فقط ابراز وجود و دیده شدن است و شما در راستای هدف طرف فعالیت کردی. با اینکه لینک مستقیم هم ندادی
بعضی آدم ها شهرت برای شان مهم است.منفی و مثبت اش برایشان فرقی نمی کند.
[…] خود -پس از ایراد اتهام- دربارهی این حمله به سایتش، نوشتهاست و خبر از پاکسازی زیردامنههای وبسایتش از آلودگی […]
[…] را به شکل کامل روشن کند. کمانگیر در پستی با عنوان در مورد حمله فارما هک یا چگونه وبلاگ یک آدمیزاد به فروشگاه…، نوشت که خودش از این مساله که با جستجوی نام وبلاگ وی، […]
[…] را به شکل کامل روشن کند. کمانگیر در پستی با عنوان در مورد حمله فارما هک یا چگونه وبلاگ یک آدمیزاد به فروشگاه…، نوشت که خودش از این مساله که با جستجوی نام وبلاگ وی، […]
خدمت شما عرض شود که hash یک طرفه است. یعنی یک سری اطلاعات رو میشه به hash تبدیل کرد. اما از روزی hash نمیشه به اون اطلاعات رسید
[…] خود -پس از ایراد اتهام- دربارهی این حمله به سایتش، نوشتهاست و خبر از پاکسازی زیردامنههای وبسایتش از آلودگی […]