Nytt (?) SEO-säkerhetshål i Wordpress - Mycket farligt med Google

[hans99]

Jaha. Det finns inte så mycket information om drabbade sajter än:

1) Hur många är det?
2) Är det ett nytt hål? Eller något av de gamla Wordpress-hålen?
3) Är det en fråga om konfiguration?

Vad händer med drabbad sajt?
När de får trafik från sökresultaten i Google skickas trafiken vidare till en uppsamlingssida. Där fanns reklam för en sajt som jag såg (men två till har nadra bloggat om). Jag tror också att första gången jag kom till sidan skickades jag direkt till uppslagsboken.

Farligt med Google
Ja det är det sannolikt eftersom som det är sneaky-redirect.

När blev det känt?
Jag upptäckte de första fallen i natt när jag var uppe och sökte på Google lågttrafiks-SERP:ar. Där upptäckte jag båda gångerna av en slump två svenska sajter (SEO / Internet-bloggar). Då var det svårt att hitta något om det men nu efter jag gick upp har jag sett att det ser ut att "poppa" upp allt fler drabbade.

Men äldre rapporter finns som kan ha med det här att göra.

Hur ser det ut nu?
Tidigt i morse ser det ut som det "stängdes av". Efter att det hela upptäcktes slutade också uppsamlingssajten skicka trafik vidare även om man klickade på reklamen. Operationen avslutades gissar jag och nu ser man det inte.

Däremot kan ju samma angripare tänkas göra om samma sak med sajterna igen om möjlighet finns. Då till något nytt projekt. Är det ett säkerhetshål kan fler upptäcka det och inte minst nu när det blir känt.

Information från Wordpress.com
Den här upptäckte jag och uppdaterar med:

Wordpress Hacked and Redirected ... Again (17 posts)
http://wordpress.org/support/topic/180772

Dessa tre sidor på Wordpress.com bedömde jag kan ha med detta att göra (men är inte säker):

[resolved] My Wordpress Blog Hacked with Redirect! (8 posts)
http://wordpress.org/support/topic/179702

[resolved] I was hacked (16 posts)
http://wordpress.org/support/topic/179395?replies=4

Den här (ny) också som dock åtminstone inte nu har just någon information för att lösa problemet men pekar på omfattningen:

anyresults.net (1 post)
http://wordpress.org/support/topic/180938

WP hacked, Ads added to Google cache (8 posts)
http://wordpress.org/support/topic/178824

Den sista rör tror jag något annat: SEO-hacking angreppet vi senast såg exempel på mot Wordpress-installationer.

Amerikanska forum
http://www.askdamagex.com/t27457-wp-...k-is-back.html
http://forums.digitalpoint.com/showthread.php?p=8030426

Bloggar
En spansk blogg med information:

WordPress, exploit, anyresults.net, and any injury headache
http://translate.google.com/translat...off %26sa%3DG

Den här amerikanska bloggen berättar hur han löste problemet:

Wordpress Site Hacked
http://www.magpiebrain.com/blog/2008...s-site-hacked/

Övriga länkar
Här har vi uppsamlingssidan: anyresults.ne

De här två från en tyskblogg var intressanta. Google översatte ok

Hack: 302-Weiterleitung nach anyresults.net
http://christian.hess-gruenig.de/blo...anyresultsnet/
http://translate.google.com/translat...F8&sl=de&tl=sv

Details zum 302-anyresults.net-Hack
http://christian.hess-gruenig.de/blo...sultsnet-hack/
http://christian.hess-gruenig.de/blo...sultsnet-hack/

Notera att hans test är meningslöst om du är känslig med det är "avstängt" när testet görs. Det avgör inte om din installation är känslig.

Men troligen blir bättre information tillgänglig under dagen.

Det jag bloggade om det när jag såg det och forskade har vi här med ett par exempel. I den första upptäckte jag det och den har jag nu kompletterat med länkar till övriga:
http://www.seotaktik.com/2008/06/und...g-hamnade.html
Jag uppdaterade den med länkar till nyare bloggpostningar jag gjort.

[hans99]

Pågår fortfarande. Fick det precis i sökresultatet:

http://www.google.se/search?hl=sv&lr...tart=1 0&sa=N

Där jag när länken till:
farmauthority.dcsportsnet.com/2008/06/05/recapping-day-one/
, följdes istället hamnade på:
anyresults.net

Tänk vad med information om trafik på nyckelord som:
thefreedictionary.com
Får genom att sidan man hamnar på är sökordet:
encyclopedia.thefreedictionary.com/anyresults.net
Åtminstone om många Wordpress-bloggar är drabbade och det kanske är så för anyresults.net verkar av och till ha prestanda problem.

[hans99]

Efter att följt det här några dagar nu tycker jag att följande kan läggas till nu:

1) Ingen enskild identifierbar punkt finns egentligen. Fler och fler troligen olika aktörer kör det här nu och saker och ting skiljer sig åt mellan dem.

2) Inget enskilt säkerhetshål utnyttjas egentligen troligt. Utan ett säkerhetshål i Wordpress utnyttjas för att lägga till det här beteendet.

Lösningen är med andra ord att se till att hålla sin Wordpress ordentligt härdad:
http://codex.wordpress.org/Hardening_WordPress

Ingen brutal säkerhetsnivå krävs :-D
Viktigt att peka på att precis som generellt är de drabbade sajter som inte haft en hög säkerhetsnivå jämfört med andra. Även vill jag säga efter att ganska aktivt följt IT- och informationssäkerhet från många perspektiv sedan säg 1994 upplever jag egentligen inte säkerhetsnivån (normaliserat mot genomsnittet i tidpunkten) på vad som angripits ökat.

D.v.s. håller man en rimlig säkerhetsnivå utan något extra ligger man högt och från vad jag ser med kraftigt reducerad risk. De som typiskt drabbas ligger tydligt lågt.

Att korrigera problemet
Jag sammanfattade hela det här problemet avseende vad jag sett och vad jag sett har dokumenterats: Lösningar på WordPress Redirect på trafik från Google. Tar har jag också länkat fler resurser kring att lösa problemet.

Men kärnan rent generellt är ändå enkel nog:

1. Rensa bort allt som angripare har lagt till din installation.
2. Bryt risk för att angripas utifrån medan du korrigerar problemen.
3. Korrigera alla säkerhetsproblem som inte har med Wordpress att göra.
4. Gör en färsk installation av Wordpress som säkert kommer från leverantören.
5. Installera buggfixar som har med säkerhetshål att göra.
6. Gå igenom inställningar av mjukvaran.
7. Följ upp med en checklista och säkerhetsskanner så att du inte missat något.
8. Gå upp på nätet igen.

Hur är det med Google?
Jodå drabbade sajter åker ur Googles index. Fast vi har ju vid tidigare liknande incidenter sett att Google är mycket förstående och rent automatiskt är förlåtande.

Korrigera problemet så snort som möjligt och det är troligt att Google tar upp dig igen automatiskt inom säg en vecka utan behov av reinclusive request.