Chez jetpack, faire face à différents types de menaces et damp;rsquocyberattaques fait partie de notre travail quotidien. Dans la plupart des cas, il va de la collecte de fichiers malveillants et de la recherche de vecteurs damp;rsquoattaque à la fourniture damp;rsquoaide pour restaurer le site à partir de la dernière sauvegarde. Mais parfois nous entrons dans une dimension différente damp;rsquoune attaque vraiment créative, une dimension inexpliquée de réinfection nous entrons dans Au crépuscule. Je suis peut être trop dramatique, mais soyez patiente pendant que je prépare la scène pour cette histoire mystérieuse. Bonjour Rejoignez moi dans le Royaume des wraith, des spams et des moteurs de recherche.
Nous avons découvert une attaque très intéressante contre un site Web. Il est apparu à lamp;rsquoorigine dans un e mail envoyé par la console de recherche Google: une URL peu commune (apparemment suspecte, avec une URL optionnelle à lamp;rsquointérieur) est listée comme une page croissante. Les propriétaires de ce site sont un peu nerveux parce que ce comportement est généralement le résultat damp;rsquoinfections, mais jetpack ne détecte ni ne les avertit de rien. De plus, ces pages namp;rsquoexistaient même pas sur le site au moment de la vérification, mais étaient toujours indexées par Google. Le crépuscule samp;rsquointensifie.
Les choses deviennent encore plus étranges lorsque nous vérifions que jetpack scanne des fichiers suspects qui pourraient être perdus (aucun outil de sécurité ne peut détecter une menace à 100%). Le noyau et le plugin wordpress sont intacts: aucun fichier ou script n’est injecté dans la base de données. Certains plug ins obsolètes ne contiennent pas de correctifs de sécurité, WordPress est une version en retard (5.6) et les dernières mises à jour ne énumèrent pas les principaux correctifs de sécurité. Il namp;rsquoy a rien de suspect. Pas de suspects habituels, pas de preuves damp;rsquoagression Pas encore. Étapes
Ou la logique suivante est de vérifier le Journal damp;rsquoaccès. Ça expliquera peut être le mystère. Allons nous découvrir que nous sommes confrontés à une attaque de jour zéro, ou avons nous finalement trouvé des preuves de la théorie du Multivers, et ce site namp;rsquoa été infecté que dans lamp;rsquounivers 1337? Pour mémoire!
Demande de spam bizarre Bing semble lamp;rsquoaimer aussi. Mais pourquoi? Comme y attendiez: il namp;rsquoy a rien damp;rsquoétrange à part le grand nombre de demandes pour ces pages de spam qui apparaissent dans les captures damp;rsquoécran. Ils ont tous répondu
travaillez dans le domaine des sites Web, le paradoxe de lamp;rsquoindexation du travail de base des moteurs de recherche est très simple. Il existe un robot (ou un script automatique) qui scanne une page Web, indexe son contenu, exécute une certaine orthographe et stocke des ressources interrogeables quelque part dans le nuage. Compte tenu de ce qui précède, nous avons creusé damp;rsquoautres journaux pour voir samp;rsquoil y avait damp;rsquoautres indices dans ces demandes, comme des références, mais sans chance. Toutes les demandes damp;rsquoenregistrement proviennent des moteurs de recherche. Heureusement, la console de recherche Google a une page de référence dans lamp;rsquoun des journaux.
Les outils de la console de recherche de Google nous donnent quelques conseils. Maintenant je pense quamp;rsquoil est temps de remplacer notre chapeau Twilight par un chapeau CSI, de creuser des os de site Web et de les mettre au microscope. Pour les personnes formées, il est facile de voir que lamp;rsquoURL de la page de référence appartient à
tes Web endommagés Heureusement, nous avons des yeux bien entraînés!
Une recherche Google rapide pour voir lamp;rsquoindex du site référencé confirme que le site est effectivement infecté et prend un certain temps pour SEO spam. Le site est destiné à une entreprise alimentaire en Inde, mais offre des offres pour les SUV au Japon Oui, camp;rsquoest du spam. Recherche de spam japonais sur les sites Web indiens. Mais aucun des résultats namp;rsquoétait lié au site de notre ami, alors jamp;rsquoai décidé de voir si damp;rsquoautres sites étaient aussi touchés par ce comportement étrange. Afin de rechercher plus de victimes damp;rsquoattaques de spam, à des fins éducatives seulement, nous avons créé une requête de recherche en utilisant nos connaissances Google Fu pour retourner au site Web qui se termine. Edu, quamp;rsquoa t il mangé? S = ` dans lamp;rsquoURL, le mot
Utilisation du site Web. Edu et. Le Gouvernement contrôle les champs de filtres anti spam (par exemple.com) qui ne sont créés que pour lamp;rsquoagriculture liée. Cela prouve que le site déclaré namp;rsquoest pas le seul site touché Cela semble être un problème plus général. Nous avons réfléchi à ce quamp;rsquoil pourrait faire pour que Google indexe ces pages. Comment google BOT les a t il contactés? Étape suivante: vérifiez le lien inverse. Résultats de la vérification des liens entrants plusieurs outils en ligne peuvent fournir des rapports sur les liens entrants aux sites Web Nous avons utilisé ahrefs dans cette étude, mais damp;rsquoautres outils peuvent obtenir les mêmes résultats
Heure de départ prévue. Quelques pages de recherche malveillantes sont listées dans les résultats, ce qui confirme notre approche correcte.
En sélectionnant lamp;rsquoun des sites pour vérifier ce qui samp;rsquoest passé, nous avons vu près de 5000 commentaires de spam, comme pouvez le voir à lamp;rsquoécran suivant (ils devraient vérifier jetpack anti spam). Chaque commentaire est lié à la page de recherche du site Web qui contient du spam dans la requête. Comme nous lamp;rsquoavons mentionné précédemment, les robots des moteurs de recherche namp;rsquointerrogent pas les pages Web. Mais samp;rsquoil trouve un lien, il est suivi. la page ne dit pas à autoscript quamp;rsquoune page particulière namp;rsquoa pas damp;rsquoindex, elle lamp;rsquoajoute.
Oui, avez injecté du spam il samp;rsquoagit damp;rsquoune façon intelligente de
Afin d’éviter un remaniement inutile, nous avons vérifié le suivi du noyau WordPress et avons constaté que le problème avait été corrigé dans la version 5.7, mais malheureusement, le Journal des modifications n’a pas été consulté en tant que problème de sécurité. Je citerai lamp;rsquoauteur, qui a décrit le problème plus clairement que moi (grâce au rapport abagtcs): les spammeurs du Web ont commencé à abuser de la fonction de recherche de ces sites, en augmentant le rang de recherche des sites spammeurs en changeant les spams et les noms damp;rsquohôtes. Les spammeurs placent ces liens dans des wikis ouverts, des commentaires de blog, des forums et damp;rsquoautres Lin
K Farm, basé sur un moteur de recherche qui scanne les liens, puis accède et indexe la page des résultats de recherche qui contient du contenu de spam. Ces attaques sont étonnamment fréquentes et touchent de nombreux sites Web dans le monde entier. Bien que certains CMS et sites Web basés sur le code personnalisé puissent être vulnérables à cette technologie, damp;rsquoaprès les premières recherches, au moins dans lamp;rsquoespace. Edu, la plateforme Web la plus ciblée est WordPress. Il n’est pas surprenant que plus de 41% des plus grands sites du Réseau soient des sites WordPress. Il y a de bonnes leçons à tirer de cet événement: les URL affichées sur les pages qui croissent le plus souvent ne sont pas bien désinfectées, de sorte que les URL spam séparées par des émoticônes que voyez peuvent en fait être sélectionnées directement (Bonjour, ami Google, camp;rsquoest à propos de ) Les utilisateurs insoupçonnés peuvent cliquer sur eux et accéder à du contenu non désiré. Google a besoin de quelques ajustements pour éviter damp;rsquoindexer les pages de spam évidentes. Selon le rapport de lamp;rsquooutil, certaines pages claires ont été numérisées sans index et des pourriels ont été ajoutés. Les attaquants peuvent même exploiter les vulnérabilités les plus mineures de votre système, et nous devons rester vigilants. Vous écoutez toujours les autres et comprenez leurs problèmes. nous ne vérifions que les journaux de lamp;rsquooutil, nous ne serons pas conscients du problème et ne pourrons pas aider à réparer leur site. Gardez votre logiciel à jour. Toujours. Chez jetpack, nous nous efforçons de nous assurer que votre site Web est protégé contre de telles vulnérabilités. Pour prendre une longueur damp;rsquoavance sur toute nouvelle menace, consultez jetpack scan, qui inclut la sécurité Scan et la suppression automatique de logiciels malveillants. Et les conseils damp;rsquoIrene cassali pour souligner le problème et aider à lamp;rsquoenquête.
Lutter contre le spam du crépuscule
