Aujourd’hui on décortique du Hack SEO:
Récemment sur un serveur j’ai trouvé le code suivant à la racine:
us_js.php ou 2 autres initiales de pays (peu importe).
Connaissant assez bien les fichiers utilisés par WordPress, j’ai mis le nez dedans, et là, c’est devenu très intéréssant.
Lorsqu’on appelle cette page, elle charge tout d’abord une liste de marques en ajax depuis le site:
http://pr.x1230.com/us/brand/ajax.php
Pour le moment, il n’y a que Nike.
Les champs suivants eux permettent d’indiquer le sous répertoire qui va contenir les contenus cachés,
combien de contenus nous allons générer, si le site possède un htaccess, et enfin le nom du template pour ses pages.
Le pirate en héberge plusieurs, regardez vous avez le choix:
http://pr.x1230.com/us/model/nike1.html
http://pr.x1230.com/us/model/nike2.html
http://pr.x1230.com/us/model/nike3.html
Une fois le formulaire validé, vous allez vous retrouver avec un répertoire (par ex: zfzl) contenant plein de fichiers comme ceux la:
air-force-blanc-femme-pas-cher.php…
Pas mal pour l’indexation ! Mais rassurez-vous, vous ne pourrez jamais y accèder avec votre browser, car il redirige en javascript vers http://www.nkfrpascher.com
Une backdoor download.php permettant de télécharger un fichier de n’importe ou afin de pouvoir reprendre le controle si jamais le hack est détécté.
Un petit wso ca serait pas mal, non ? http://www.gameandme.fr/tutoriaux/backdoor-de-sites-web-comment-ca-marche-wso/
Un fichier model.html contenant tous vos fichiers à la racine, permettant de lire par exemple le contenu du fichier config.php avec le script précedent.
Et des fichiers très important permettant de hacker votre wordpress: wp-blog-header.php et wp-content.php
Le 1er est un fichier de WordPress, il est modifié afin de lui inclure le 2e qui lui n’a rien à faire sur votre site.
Le 2e, lui va rajouter des liens sur votre homepage: http://pr.x1230.com/us/links/1.txt pour google, et http://pr.x1230.com/us/links/1.txt pour Yahoo.
C’est sympa, il y a même la liste des ancres ! Plutôt orienté « pas cher », vous ne trouvez pas ?
Vous trouverez aussi un fichier ip.php qui contient la liste des IP des moteurs de recherche.
Si vous ne venez pas de cette liste, vous serez redirigé en javascript sur http://fnk.urlmove-fra.info
Je n’ai pas trouvé d’autres utilisation de ce fichier, mais il aurait pu tout aussi bien apparaitre dans votre wordpress pour cacher des pages.
Et pour couronner le tout, votre .htaccess aura potentiellement quelques lignes en plus permettant de faire correspondre votre site avec cette url:
www.toto.fr/air-force-blanc-femme-pas-cher.html
RewriteRule ^([a-zA-Z0-9_-]+).html$ /zfzl/$1.php [L]
Voilà, voilà, nous avons terminé l’inventaire. Que dire de plus ?
L’année dernière était déjà très orientée hack de wordpress, et vu la masse de sites sur cette plateforme, cela ne va pas changer tout de suite.
Pour vous éviter ce type de situations, faites régulièrement des mises à jour des plugins, et du coeur de wordpress. Vous avez 2 lignes qui vous permettent d’automatiser cela:
define( ‘WP_AUTO_UPDATE_CORE’, true );
add_filter( ‘auto_update_plugin’, ‘__return_true’ );
Cela peut perturber un peu votre production (ca dépend des plugins et de votre dév), mais ca peut aussi vous sauvez la mise !
Pour le pirate, plusieurs choses:
Laissez du code sans cryptage c’est bof (mais merci ca a facilité mon debuggage) !
Essaye d’apprendre à coder un peu plus proprement, car ça fait très amateur comme code.
Le mot de la fin sera le commentaire en entête 欧美菜刀上传程序, je vous laisse deviner d’ou ca provient et qui sont les cibles.
