giovedì 11 settembre 2008

WordPress spam links injection e WordPress upgrade

Approfitto del rilascio di un nuovo aggiornamento di WordPress alla versione 2.6.2 per ritornare un attimo sulla presenza ancora in quantita' rilevante di blogs WP che presentano segni di una ' spam links injection

Ricordo che WordPress e' una piattaforma blog, attualmente distribuita con la licenza GNU General Public License, scritta in PHP e che usa come database MySQL.
L'ultima versione e appunto la 2.6.2, rilasciata l' 8 Settembre 2008.

E' interessante notare che a distanza di mesi dai problemi di vulnerabilita' che avevano portato alla comparsa su pagine WP di links specialmente a siti di Pharmacy, ci siano in rete ancora centinaia, se non migliaia di blogs che presentano questo tipo di attacco.

Una breve ricerca in rete rende possibile trovare anche blogs su dominio .IT che presentano centinaia di collegamenti a siti di vendita di viagra e derivati, e che utilizzano una tecnica di occultamento dei links che vedremo ora.

Questa ' una delle tante pagine presenti in rete di blog che utilizza WordPress dove possiamo vedere che non esiste alcuna traccia della presenza di links a siti di Pharmacy


Dato che lo scopo di chi gestisce questo tipo di attacchi e' quello di inserire il maggior numero di links , in questo caso a siti di Pharmacy, rendendo pero' nascosta il piu' possibile la compromissione delle pagine del blog per ovvi motivi (es. maggiore durata dell'efficacia dell'attacco), si cerca di limitare al minimo la possibilita' che chi gestisce il sito scopra l'accaduto.

Per fare questo, una delle pratiche messe in atto dall'attacco a blog WP e' quella di sfruttare una qualche vulnerabilita' per inserirsi come amministratore nascosto del blog e aggiungere links a siti di Pharmacy ma visibili solo ad un motore di ricerca al momento che lo stesso indicizza le pagine.

Uno dei modi per 'smascherare' questo tentativo di occultamento e' quello di 'spacciarsi' per Google Spider al momento di vistare il blog.

Se, ad esempio usando Firefox con l'addon User Agent Switcher andiamo a modificare la stringa che definisce lo User Agent utilizzato sostituendola con una stringa di testo che faccia sembrare che a visitare il sito visto sopra sia GoogleBot le cose cambiano

Come vediamo il codice del blog appare ora contenente molti links a siti di Pharmacy (vendita falsi medicinali, surrogati del viagra ecc....)


Ma c'e' di piu', come si vede i links presenti sono nascosti comunque dalla visione sulla pagina utilizzando la proprieta' display su 'none'
Infatti disabilitando questa opzione ecco il risultato visibile sulla pagina del blog esaminato

Come se non bastasse questo, vengono anche letti i cookies relativi per fare in modo che se si visita nuovamente la pagina non vengano piu' abilitati i links presenti e viene letto anche il referrer relativo a chi visita la pagina per fare in modo che se richiamata direttamente non vengano attivati i links presenti ma siano utilizzabili solo se si giunge sul blog attraverso una ricerca in rete.

Il trucco dello user agent potrebbe comunque non sempre funzionare se ad esempio esiste una verifica di reverse IP quando andiamo ad interrogare il sito 'spacciandoci' per Google


Ecco un esempio di messaggio che in pratica ci dice “..... affermi di essere un importante motore di ricerca, ma non credo sia proprio cosi' .....”

Edgar

Nessun commento: