{"id":84,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/et\/wordpessi-pahavara-googleboti-ip-tuvastus-cloaking\/"},"modified":"2026-01-20T06:33:08","modified_gmt":"2026-01-20T05:33:08","slug":"wordpessi-pahavara-googleboti-ip-tuvastus-cloaking","status":"publish","type":"post","link":"https:\/\/helloblog.io\/et\/wordpessi-pahavara-googleboti-ip-tuvastus-cloaking\/","title":{"rendered":"Kui Google n\u00e4eb \u00fcht ja k\u00fclastaja teist: WordPressi pahavara, mis tuvastab Googleboti IP j\u00e4rgi"},"content":{"rendered":"\n
Viimaste kuude intsidentides on hakanud silma \u00fcks ebameeldiv trend: pahavara ei \u00fcrita enam tingimata iga k\u00fclastajat kuhugi kahtlasesse kohta suunata. Selle asemel k\u00e4itutakse selektiivselt \u2013 p\u00e4ris inimestele n\u00e4idatakse tavalist saiti, aga otsingumootorite roomikutele (crawler) serveeritakse hoopis teist sisu. Omanik logib sisse, kontrollib avalehte ja k\u00f5ik paistab korras. Google aga indekseerib sp\u00e4mmi.<\/p>\n\n\n\n
Sucuri anal\u00fc\u00fcsis \u00fchte sellist juhtumit, kus WordPressi p\u00f5hifaili index.php<\/code> oli lisatud \u201cv\u00e4ravavahi\u201d loogika: see otsustab, kas laadida WordPress tavap\u00e4raselt v\u00f5i t\u00f5mmata v\u00e4lisest allikast t\u00e4iesti teistsugune payload (sisu\/skript), mida n\u00e4eb sisuliselt ainult Google\u2019i infrastruktuur.<\/p>\n\n\n\n
Mis r\u00fcnnakuga tegu on (ja miks see on ebameeldiv)?<\/h2>\n\n\n\n
See on klassikalise cloaking\u2019u<\/em> (sisu varjamine) edasiarendus. M\u00f5te on lihtne: otsingumootorile n\u00e4itad midagi, mis aitab sul indekseeruda (v\u00f5i mida r\u00fcndaja tahab indekseerida), aga p\u00e4riskasutaja n\u00e4eb \u201cpuhast\u201d saiti. Praktikas t\u00e4hendab see, et Google\u2019i tulemustes v\u00f5ivad ilmuda lehed, mida sinu WordPress tegelikult kunagi ei genereeri.<\/p>\n\n\n\n
Eriti ohtlikuks teeb selle juhtumi see, et r\u00fcndaja ei piirdu ainult User-Agent<\/code>i kontrolliga (mida saab v\u00e4ga lihtsalt v\u00f5ltsida). Skript kontrollib ka IP-aadressi ning teeb seda \u00fcsna tehniliselt korralikult.<\/p>\n\n\n\nR\u00fcndaja eesm\u00e4rk: lasta pahatahtlik sisu l\u00e4bi ainult \u201e\u00f5igele\u201d roomikule. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
Kus pahavara peidus oli?<\/h2>\n\n\n\n
Leitud juhtumis oli muudatus tehtud WordPressi peamisele index.php<\/code> failile. See on kriitiline koht, sest tavap\u00e4raselt toimib index.php<\/code> WordPressi esilet\u00f5stetud \u201cfront controller\u201d sarnase sissep\u00e4\u00e4suna: kui r\u00fcndaja saab sinna oma kontrollloogika, saab ta otsustada, kas WordPress \u00fcldse k\u00e4ivitub v\u00f5i mitte.<\/p>\n\n\n\n
Mis oli tehniliselt \u201euus\u201d v\u00f5rreldes tavap\u00e4rase botifiltriga?<\/h2>\n\n\n\n
Tavap\u00e4rane halb skript kontrollib HTTP_USER_AGENT<\/code> v\u00e4\u00e4rtust ja kui n\u00e4eb sealt \u201eGooglebot\u201d, serveerib midagi muud. Probleem: seda saab iga\u00fcks curliga j\u00e4rgi teha. Antud juhul lisati teine kiht: kontrollitakse, kas p\u00e4ring tuleb Google\u2019i IP-vahemikest.<\/p>\n\n\n\n
Siin tulevad m\u00e4ngu kaks m\u00f5istet, mida tasub sama laua taga hoida:<\/p>\n\n\n\n
\n\n
ASN (Autonomous System Number)<\/strong> \u2013 autonooms\u00fcsteemi number, sisuliselt v\u00f5rguoperaatori \u201einternetipass\u201d. Google\u2019il on oma ASN-id ja nende all konkreetne hulk IP-vahemikke.<\/li>\n\n\n
CIDR<\/strong> (Classless Inter-Domain Routing) \u2013 notatsioon IP-vahemike kirjeldamiseks kujul x.x.x.x\/nn<\/code>, kus mask m\u00e4\u00e4rab, kui suur see v\u00f5rgublokk on. N\u00e4iteks 192.168.1.0\/24<\/code> katab 192.168.1.0<\/code> kuni 192.168.1.255<\/code>.<\/li>\n\n<\/ul>\n\n\n\nCIDR on standardne viis IP-vahemike kompaktseks kirjeldamiseks. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
Pahavara sisaldas suurt, hardcode\u2019itud nimekirja Google\u2019i ASN-iga seotud IP-vahemikest CIDR formaadis ning tegi kontrolli mitte stringiv\u00f5rdlusega, vaid bititasemel arvutusega (sh IPv6 tugi). See teeb k\u00e4sitsi avastamise ebamugavaks: isegi kui sa esined Googlebotina, saad \u201etavalise\u201d lehe \u2013 sest IP ei klapi.<\/p>\n\n\n\n
Kuidas see \u201ev\u00e4ravavaht\u201d loogika t\u00f6\u00f6tab (k\u00f5rgel tasemel)<\/h2>\n\n\n\n
Leitud skript tegi otsuse mitmes astmes. Kui m\u00f5elda sellest kui request pipeline\u2019ist, siis r\u00fcndaja on pannud index.php<\/code> algusesse preflight-kontrollid ning alles siis otsustab, kas WordPressi bootstrap \u00fcldse k\u00e4ivitada.<\/p>\n\n\n\n
Esmalt vaadatakse HTTP_USER_AGENT<\/code> stringi ja otsitakse sealt erinevaid Google\u2019i roomikute ja t\u00f6\u00f6riistade mustreid (mitte ainult \u201eGooglebot\u201d, vaid ka mitmed verifitseerimise\/inspekteerimisega seotud agendid). Kuna User-Agent<\/code> on triviaalne spoofida, j\u00e4rgneb sellele IP-aadressi valideerimine.<\/p>\n\n\n\nUA on ainult esimene filter; p\u00e4ris otsus tehakse IP j\u00e4rgi. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
2) IP vahemiku kontroll bitioperatsioonidega<\/h3>\n\n\n\n
IPv4 puhul kasutatakse klassikalist v\u00f5rgumaski kontrolli loogikat: v\u00f5etakse IP ja v\u00f5rguadress, tehakse m\u00f5lemale AND<\/code> netmask\u2019iga ning v\u00f5rreldakse tulemusi. See on standardne viis kontrollida, kas IP kuulub CIDR-v\u00f5rgublokki.<\/p>\n\n\n\n
![\"Skeem](\"https:\/\/helloblog.io\/app\/uploads\/sites\/18\/2026\/01\/IP-Verified-Conditional-Logic.png\")
![\"N\u00e4ide](\"https:\/\/helloblog.io\/app\/uploads\/sites\/18\/2026\/01\/CIDR-format.png\")
![\"Mitmekihiline](\"https:\/\/helloblog.io\/app\/uploads\/sites\/18\/2026\/01\/Multi-Layer-Identity-Verification.png\")