{"id":95,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/da\/wordpress-malware-googlebot-asn-cidr-ip-verificering\/"},"modified":"2026-01-20T06:33:20","modified_gmt":"2026-01-20T05:33:20","slug":"wordpress-malware-googlebot-asn-cidr-ip-verificering","status":"publish","type":"post","link":"https:\/\/helloblog.io\/da\/wordpress-malware-googlebot-asn-cidr-ip-verificering\/","title":{"rendered":"N\u00e5r Google ser noget andet end dine brugere: WordPress-malware der \u201cfanger\u201d Googlebot med ASN- og CIDR-tjek"},"content":{"rendered":"\n

Vi er vant til at t\u00e6nke malware som noget, der enten smadrer en side, viderestiller alle bes\u00f8gende eller smider en popup i hovedet p\u00e5 folk. Men en nyere variant, som Sucuri har analyseret, g\u00e5r mere stille til v\u00e6rks: Den \u00e6ndrer en central fil i WordPress, og viser kun et ondsindet \u201cpayload\u201d til s\u00f8gemaskinens infrastruktur. For ejeren og almindelige brugere ser sitet helt normalt ud.<\/p>\n\n\n\n

I denne gennemgang f\u00e5r du et klart billede af, hvordan<\/em> den type infektion fungerer, hvorfor den er sv\u00e6r at opdage med manuel test, og hvilke tegn og kontroller der typisk afsl\u00f8rer den.<\/p>\n\n\n\n

\"Illustration
Angrebet er selektivt: Googlebot f\u00e5r et andet svar end mennesker. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Hvad er det for et angreb?<\/h2>\n\n\n\n

Case\u2019en handler om en kompromitteret WordPress-installation, hvor index.php<\/strong> (den prim\u00e6re entrypoint i roden) er blevet modificeret. I stedet for bare at starte WordPress som normalt, fungerer filen som en gatekeeper: den afg\u00f8r, hvem der bes\u00f8ger sitet, og v\u00e6lger derefter mellem to adf\u00e6rdsm\u00f8nstre:<\/p>\n\n\n\n

    \n\n
  • Hvis bes\u00f8gende identificeres som Google-relateret crawler\/inspektionsv\u00e6rkt\u00f8j, hentes og udskrives eksternt indhold fra et tredjepartsdom\u00e6ne.<\/li>\n\n\n
  • Hvis bes\u00f8gende er en almindelig bruger (eller en bot der ikke kan verificeres korrekt), f\u00e5r de den normale, \u201crene\u201d side eller bliver sendt til forsiden.<\/li>\n\n<\/ul>\n\n\n\n

    Konsekvensen er klassisk cloaking<\/em> (SEO-cloaking): Google indekserer noget, som dine brugere ikke ser. Det er effektivt, fordi mange website-ejere kun opdager problemer via browseren \u2014 og i denne model f\u00e5r browseren den p\u00e6ne version.<\/p>\n\n\n\n

    \"Sk\u00e6rmbillede
    Google kan f\u00e5 serveret spam\/alternativt indhold, mens brugere stadig ser den rigtige side. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    Det nye: IP-verificering p\u00e5 Googles ASN-ranges (ikke kun User-Agent)<\/h2>\n\n\n\n

    Cloaking i sig selv er ikke nyt. Det interessante i denne variant er, at den ikke n\u00f8jes med at kigge p\u00e5 User-Agent<\/strong> (HTTP-headeren der identificerer klienten \u2014 fx browser, device og OS). User-Agent er triviel at spoofe, s\u00e5 \u00e6ldre og mere simple scripts er ofte nemme at \u201cnarre\u201d ved at sende en request med Googlebot<\/code> i headeren.<\/p>\n\n\n\n

    Her tager malwaren et ekstra skridt: Den indeholder en stor, hardcoded liste over Googles ASN<\/strong>-tilknyttede IP-ranges i CIDR<\/strong>-format og verificerer, at den bes\u00f8gendes IP faktisk ligger i et Google-ejet netv\u00e6rksblok.<\/p>\n\n\n\n

    Kort fortalt: ASN og CIDR i den her kontekst<\/h3>\n\n\n\n

    Et ASN<\/strong> (Autonomous System Number) kan du t\u00e6nke p\u00e5 som en organisations \u201cinternet-identitet\u201d hos BGP-routing: en samling IP-adresser og netv\u00e6rksruter, der h\u00f8rer til den samme akt\u00f8r. N\u00e5r en request kommer fra Googles ASN-omr\u00e5der, er det en st\u00e6rk indikator for, at den faktisk kommer fra Googles infrastruktur (Search-crawlere, inspektionsv\u00e6rkt\u00f8jer, cloud-tjenester osv.) og ikke fra en tilf\u00e6ldig maskine der udgiver sig for at v\u00e6re Googlebot.<\/p>\n\n\n\n

    CIDR<\/strong> (Classless Inter-Domain Routing) er den kompakte notation for IP-blokke, fx 192.168.1.0\/24<\/code>, som d\u00e6kker et helt interval af adresser i \u00e9n linje. Det g\u00f8r det muligt at tjekke \u201ctilh\u00f8rer IP\u2019en dette netv\u00e6rk?\u201d uden at liste alle adresser enkeltvis.<\/p>\n\n\n\n

    \"Grafik
    CIDR beskriver en hel blok af IP-adresser i \u00e9n notation. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    S\u00e5dan er malwaren typisk bygget op (trin for trin)<\/h2>\n\n\n\n

    I Sucuris fund er logikken lagt ind i index.php og opdelt i flere lag. Pointen er at reducere \u201cst\u00f8j\u201d: Kun n\u00e5r b\u00e5de identitet (User-Agent) og netv\u00e6rk (IP) matcher Googles infrastruktur, aktiveres payload.<\/p>\n\n\n\n

    1) Multi-layer identitetstjek (User-Agent + IP)<\/h3>\n\n\n\n

    F\u00f8rst matches der p\u00e5 User-Agent for Google-relaterede klienter. Derefter kommer det afg\u00f8rende: IP\u2019en verificeres mod de hardcodede ASN\/CIDR ranges. Kombinationen g\u00f8r det sv\u00e6rt at reproducere med en almindelig browser eller et simpelt curl-kald fra din egen maskine.<\/p>\n\n\n\n

    \"Diagram
    To lag: header-match og efterf\u00f8lgende netv\u00e6rksverifikation. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    2) Bitwise netv\u00e6rksmatch (lav-niveau validering)<\/h3>\n\n\n\n

    I stedet for at lave simple string-sammenligninger, bruger scriptet bitvise operationer til at afg\u00f8re om en IP falder i en given netmask. Den type matematiske tjek er standard netv\u00e6rksteknik, men det er us\u00e6dvanligt at se det implementeret s\u00e5 gennemf\u00f8rt i cloaking-malware \u2014 og med ordentlig IPv6<\/strong>-underst\u00f8ttelse, som mange \u00e6ldre scripts ignorerer.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>