Referitor la ultimul meu post, despre virusul de WordPress care a afectat cred ca peste 50% din blogurile din intreaga lume, incerc sa dau cea mai simpla metoda prin care puteti verfica daca un blog este afectat de acestvirus.
Am ales un blog la intamplare, pentru a face aceasta demonstratie. : denisuca.com.
1. Deschideti intr-un browser oarecare, www.google.com si cautati :
site:denisuca.com buy
Observati in imaginea de mai sus, ca Google a indexat denisuca.com, cu o gramada de cuvinte cheiereferitoare de niste medicamente. Aceste cuvinte/linkuri sunt invizibile pentru vizitatorii blogului si pentru proprietarul lui, dar vizibile pentru motoarele de cautare : Google, Yahoo, AOL, MSN, Windows Live.
2. Verificati continutul site-ului din memoria cache a Google.
exemplu:
Autohaus Huber, închirieiri auto | Denisuca
25 Feb 2008 … Buy Adderall Buy Adipex Buy Alprazolam Buy Ambien Buy Ativan Buy Biaxin Buy Bontril Buy Bupropion Buy Butalbital Buy Carisoprodol Buy …
denisuca.com/autohaus-huber-inchirieiri-auto.html – 40k – În Cache – Pagini similare
Click pe "In Cache” si se va deschide site-ului, asa cum a fost memorat de Google la o anumita data. In cazul de fata :
Aceasta este varianta din memoria cache G o o g l e a adresei http://denisuca.com/laptopu-meu.html aşa cum a fost recepţionată la 28 Iun 2008 01:18:23 GMT.
Vizualizati site-ul si nu o observati nimic suspect. deocamdata.
3. In partea de sus a paginii, unde este frame-ul de la Goolge Cache, face-ti click pe optiunea care va permite sa vizualitati numai textul depozitat pe site, fara imagini si alte fisiere "media” .
Această pagină depozitată poate oferi referinţe către imagini care nu mai sunt disponibile. Faceţi clic aici pentru textul depozitat.
Click pe linkul "textul depozitat” .
4. Scroll pana in parea de jos a site-ului "footer” si o sa vedeti acolo spam link-urile, rezultate in urma infectarii cu acest virus.
Acele linkuri sunt generate de un cod malitios , aparut in sursa temei de wordpress folosita de blogul denisuca.com si transfera Goolge Page Rank catre site-urile indicate de atacator (backlinks) . Aceasta ar fi cea mai mica paguba produsa (pentru unii) , dar efectele virusului sunt mult mai mari si structura lui este foarte complexa.
Efectele :
- motoarele de cautare, in timp nu vor mai trimite vizitatori catre astfel de bloguri virusate. Inserarea de link-uri ascunse in codul unui site, este considerat SPAM SEO si motoarele de cautare penalizeaza urat de tot, aceasta procedura.
- vizitatorii care nu au cookie pentru site-ul respectiv, sunt redirectionati printr-un alt hack al aceluiasi virus, si catre site-uri alte atacatorilor. Acest lucru este identificat de multi anti-virusi ca fiind Trojan.Clicker.HTML…. (sunt redirectionati si cei care provin din motoarele de cautare si rss readere.)
- modificari ale bazelor de date si exploatarea vulnerabilitatilor de securitate a serverelor (scaderea masiva a performantelor), pentru a servi la aceasta infractiune.
Detalii despre cum cum puteti scapa de acest virus, gasiti aici.
Pentru alte informatii, contactati-ma pe YM si/sau Google Talk . id: laurentiu.piron
LA: Aceasta metoda este eficienta numai in cazul blogurilor care au paginile infectate, indexate in motorul de cautare. Numarul blogurilor infectate, cu siguranta este destul de mare.