Lutter contre le spam du crépuscule

Chez jetpack, faire face à différents types de menaces et d’cyberattaques fait partie de notre travail quotidien. Dans la plupart des cas, il va de la collecte de fichiers malveillants et de la recherche de vecteurs d’attaque à la fourniture d’aide pour restaurer le site à partir de la dernière sauvegarde. Mais parfois nous entrons dans une dimension différente d’une attaque vraiment créative, une dimension inexpliquée de réinfection – nous entrons dans… Au crépuscule. Je suis peut – être trop dramatique, mais soyez patiente pendant que je prépare la scène pour cette histoire mystérieuse. Bonjour Rejoignez – moi dans le Royaume des wraith, des spams et des moteurs de recherche.
Nous avons découvert une attaque très intéressante contre un site Web. Il est apparu à l’origine dans un e – mail envoyé par la console de recherche Google: une URL peu commune (apparemment suspecte, avec une URL optionnelle à l’intérieur) est listée comme une page croissante. Les propriétaires de ce site sont un peu nerveux parce que ce comportement est généralement le résultat d’infections, mais jetpack ne détecte ni ne les avertit de rien. De plus, ces pages n’existaient même pas sur le site au moment de la vérification, mais étaient toujours indexées par Google. Le crépuscule s’intensifie.
Les choses deviennent encore plus étranges lorsque nous vérifions que jetpack scanne des fichiers suspects qui pourraient être perdus (aucun outil de sécurité ne peut détecter une menace à 100%). Le noyau et le plugin wordpress sont intacts: aucun fichier ou script n’est injecté dans la base de données. Certains plug – ins obsolètes ne contiennent pas de correctifs de sécurité, WordPress est une version en retard (5.6) et les dernières mises à jour ne énumèrent pas les principaux correctifs de sécurité. Il n’y a rien de suspect. Pas de suspects habituels, pas de preuves d’agression; Pas encore. Étapes
Ou la logique suivante est de vérifier le Journal d’accès. Ça expliquera peut – être le mystère. Allons – nous découvrir que nous sommes confrontés à une attaque de jour zéro, ou avons – nous finalement trouvé des preuves de la théorie du Multivers, et ce site n’a été infecté que dans l’univers 1337? Pour mémoire! Demande de spam bizarre Bing semble l’aimer aussi. Mais pourquoi? Comme vous vous y attendiez: il n’y a rien d’étrange à part le grand nombre de demandes pour ces pages de spam qui apparaissent dans les captures d’écran. Ils ont tous répondu \
Si vous travaillez dans le domaine des sites Web, le paradoxe de l’indexation du travail de base des moteurs de recherche est très simple. Il existe un robot (ou un script automatique) qui scanne une page Web, indexe son contenu, exécute une certaine orthographe et stocke des ressources interrogeables quelque part dans le nuage. Compte tenu de ce qui précède, nous avons creusé d’autres journaux pour voir s’il y avait d’autres indices dans ces demandes, comme des références, mais sans chance. Toutes les demandes d’enregistrement proviennent des moteurs de recherche. Heureusement, la console de recherche Google a une page de référence dans l’un des journaux. Les outils de la console de recherche de Google nous donnent quelques conseils. Maintenant je pense qu’il est temps de remplacer notre chapeau Twilight par un chapeau CSI, de creuser des os de site Web et de les mettre au microscope. Pour les personnes formées, il est facile de voir que l’URL de la page de référence appartient à
Sites Web endommagés; Heureusement, nous avons des yeux bien entraînés! \
Une recherche Google rapide pour voir l’index du site référencé confirme que le site est effectivement infecté et prend un certain temps pour SEO spam. Le site est destiné à une entreprise alimentaire en Inde, mais offre des offres pour les SUV au Japon – Oui, c’est du spam. Recherche de spam japonais sur les sites Web indiens. Mais aucun des résultats n’était lié au site de notre ami, alors j’ai décidé de voir si d’autres sites étaient aussi touchés par ce comportement étrange. Afin de rechercher plus de victimes d’attaques de spam, à des fins éducatives seulement, nous avons créé une requête de recherche en utilisant nos connaissances Google Fu pour retourner au site Web qui se termine. Edu, qu’a – t – il mangé? S = ` dans l’URL, le mot \ Utilisation du site Web. Edu et. Le Gouvernement contrôle les champs de filtres anti – spam (par exemple.com) qui ne sont créés que pour l’agriculture liée. Cela prouve que le site déclaré n’est pas le seul site touché; Cela semble être un problème plus général. Nous avons réfléchi à ce qu’il pourrait faire pour que Google indexe ces pages. Comment google BOT les a – t – il contactés? Étape suivante: vérifiez le lien inverse. Résultats de la vérification des liens entrants plusieurs outils en ligne peuvent fournir des rapports sur les liens entrants aux sites Web; Nous avons utilisé ahrefs dans cette étude, mais d’autres outils peuvent obtenir les mêmes résultats
Heure de départ prévue. Quelques pages de recherche malveillantes sont listées dans les résultats, ce qui confirme notre approche correcte.
En sélectionnant l’un des sites pour vérifier ce qui s’est passé, nous avons vu près de 5000 commentaires de spam, comme vous pouvez le voir à l’écran suivant (ils devraient vérifier jetpack anti – spam). Chaque commentaire est lié à la page de recherche du site Web qui contient du spam dans la requête. Comme nous l’avons mentionné précédemment, les robots des moteurs de recherche n’interrogent pas les pages Web. Mais s’il trouve un lien, il est suivi. Si la page ne dit pas à autoscript qu’une page particulière n’a pas d’index, elle l’ajoute. Oui, vous avez injecté du spam il s’agit d’une façon intelligente de \
Afin d’éviter un remaniement inutile, nous avons vérifié le suivi du noyau WordPress et avons constaté que le problème avait été corrigé dans la version 5.7, mais malheureusement, le Journal des modifications n’a pas été consulté en tant que problème de sécurité. Je citerai l’auteur, qui a décrit le problème plus clairement que moi (grâce au rapport abagtcs): les spammeurs du Web ont commencé à abuser de la fonction de recherche de ces sites, en augmentant le rang de recherche des sites spammeurs en changeant les spams et les noms d’hôtes. Les spammeurs placent ces liens dans des wikis ouverts, des commentaires de blog, des forums et d’autres Lin
K Farm, basé sur un moteur de recherche qui scanne les liens, puis accède et indexe la page des résultats de recherche qui contient du contenu de spam. Ces attaques sont étonnamment fréquentes et touchent de nombreux sites Web dans le monde entier. Bien que certains CMS et sites Web basés sur le code personnalisé puissent être vulnérables à cette technologie, d’après les premières recherches, au moins dans l’espace. Edu, la plateforme Web la plus ciblée est WordPress. Il n’est pas surprenant que plus de 41% des plus grands sites du Réseau soient des sites WordPress. Il y a de bonnes leçons à tirer de cet événement: les URL affichées sur les pages qui croissent le plus souvent ne sont pas bien désinfectées, de sorte que les URL spam séparées par des émoticônes que vous voyez peuvent en fait être sélectionnées directement (Bonjour, ami Google, c’est à propos de vous); Les utilisateurs insoupçonnés peuvent cliquer sur eux et accéder à du contenu non désiré. Google a besoin de quelques ajustements pour éviter d’indexer les pages de spam évidentes. Selon le rapport de l’outil, certaines pages claires ont été numérisées sans index et des pourriels ont été ajoutés. Les attaquants peuvent même exploiter les vulnérabilités les plus mineures de votre système, et nous devons rester vigilants. Vous écoutez toujours les autres et comprenez leurs problèmes. Si nous ne vérifions que les journaux de l’outil, nous ne serons pas conscients du problème et ne pourrons pas aider à réparer leur site. Gardez votre logiciel à jour. Toujours. Chez jetpack, nous nous efforçons de nous assurer que votre site Web est protégé contre de telles vulnérabilités. Pour prendre une longueur d’avance sur toute nouvelle menace, consultez jetpack scan, qui inclut la sécurité Scan et la suppression automatique de logiciels malveillants. Et les conseils d’Irene cassali pour souligner le problème et aider à l’enquête.