WordPressin haittaohjelmissa on pitk\u00e4\u00e4n n\u00e4hty yksinkertaisia uudelleenohjauksia ja n\u00e4kyvi\u00e4 roskasivuja. Nyt trendi on selv\u00e4sti hienovaraisempi: hy\u00f6kk\u00e4\u00e4j\u00e4 tekee sivustosta portinvartijan, joka p\u00e4\u00e4tt\u00e4\u00e4 vierailijan perusteella, mit\u00e4 sis\u00e4lt\u00f6\u00e4 palautetaan. Tavalliselle k\u00e4ytt\u00e4j\u00e4lle kaikki n\u00e4ytt\u00e4\u00e4 siistilt\u00e4 \u2014 mutta hakukoneen indeksoijalle (crawler) sy\u00f6tet\u00e4\u00e4n aivan eri payload.<\/p>\n\n\n\n
Sucurin tapauskuvauksessa vastaan tuli poikkeuksellisen \u201chuolellinen\u201d cloaking (sis\u00e4ll\u00f6n peitt\u00e4minen): botin tunnistus ei perustu pelkk\u00e4\u00e4n Tutkittu infektio oli tehty WordPress-sivuston juureen, p\u00e4\u00e4asialliseen Jos tulija n\u00e4ytt\u00e4\u00e4 \u201coikealta\u201d Googlelta, sivu hakee ulkopuolista sis\u00e4lt\u00f6\u00e4 ja tulostaa sen suoraan vastaukseen. Jos tulija on tavallinen k\u00e4ytt\u00e4j\u00e4 (tai botti, joka yritt\u00e4\u00e4 esitt\u00e4\u00e4 Googlebotia), k\u00e4vij\u00e4 ohjataan tai p\u00e4\u00e4tyy normaaliin, puhtaaseen sivuun.<\/p>\n\n\n\n Moni cloaking-skripti tekee vain t\u00e4m\u00e4n: T\u00e4ss\u00e4 kampanjassa haittakoodi sis\u00e4lsi suuren, kovakoodatun listan Googlen ASN:\u00e4\u00e4n (Autonomous System Number) liittyvist\u00e4 IP-alueista CIDR-muodossa ja tarkisti k\u00e4vij\u00e4n IP:n matemaattisesti (bitwise-operaatioilla). Lis\u00e4ksi mukana oli IPv6-tuki, joka puuttuu monista vanhemmista toteutuksista.<\/p>\n\n\n\n T\u00e4m\u00e4n infektion \u201cp\u00e4\u00e4vahinko\u201d kohdistuu n\u00e4kyvyyteen ja hakukonemaineriskiin. Koska Google n\u00e4kee eri sis\u00e4ll\u00f6n kuin k\u00e4ytt\u00e4j\u00e4, seurausketju voi olla ruma: indeksiin ilmestyy roskasivuja, sivuston luottamus heikkenee, hakutulokset voivat muuttua, ja pahimmillaan seurauksena on deindeksointi tai jonkinlainen blacklistaus.<\/p>\n\n\n\n Lis\u00e4ongelma on viive: koska omistaja selaa sivustoa normaalina k\u00e4ytt\u00e4j\u00e4n\u00e4, h\u00e4n ei v\u00e4ltt\u00e4m\u00e4tt\u00e4 n\u00e4e mit\u00e4\u00e4n poikkeavaa. Ongelma huomataan vasta Search Consolesta, SERP:ist\u00e4 tai ulkopuolisesta h\u00e4lytyksest\u00e4.<\/p>\n\n\n\n Tapauksessa et\u00e4sis\u00e4lt\u00f6\u00e4 haettiin domainista Alla on konseptitasolla se logiikka, jonka vuoksi t\u00e4m\u00e4 hy\u00f6kk\u00e4ys on hankala havaita. En ole kiinnostunut kopioimaan haittakoodia, vaan siit\u00e4, mit\u00e4 komponentteja se k\u00e4ytt\u00e4\u00e4 ja miksi.<\/p>\n\n\n\n Ensimm\u00e4inen suodatin on T\u00e4ss\u00e4 tapauksessa User-Agent-suodatus ei rajoittunut pelkk\u00e4\u00e4n Tunnistuksen ydin on IP-osoitteen sovittaminen CIDR-verkkoon matemaattisesti, ei merkkijonoja vertailemalla. IPv4:ss\u00e4 t\u00e4m\u00e4 tehd\u00e4\u00e4n tyypillisesti muuttamalla IP ja verkko desimaalimuotoon ja vertaamalla maskattuja arvoja. Sucurin esimerkiss\u00e4 logiikka on t\u00e4t\u00e4 tyyppi\u00e4:<\/p>\n\n\n\nUser-Agent<\/code>-headeriin, vaan liikenne varmistetaan Googlen oman IP-infrastruktuurin kautta. T\u00e4m\u00e4 tekee hy\u00f6kk\u00e4yksest\u00e4 vaikean havaita k\u00e4sin selailemalla tai peruscheckeill\u00e4.<\/p>\n\n\n\nMit\u00e4 t\u00e4ss\u00e4 l\u00f6yd\u00f6ksess\u00e4 oli pieless\u00e4?<\/h2>\n\n\n\n
index.php<\/code>-tiedostoon. Idea oli yksinkertainen mutta tehokas: index.php<\/code> ei aina k\u00e4ynnist\u00e4 WordPressi\u00e4 normaalisti, vaan tarkistaa ensin, kuka on tulossa sis\u00e4\u00e4n.<\/p>\n\n\n\nMiksi t\u00e4m\u00e4 on kehitt\u00e4j\u00e4lle kiinnostava (ja ik\u00e4v\u00e4) muutos?<\/h2>\n\n\n\n
if (strpos($_SERVER['HTTP_USER_AGENT'], 'Googlebot') !== false) { ... }<\/code>. Se on helppo kiert\u00e4\u00e4 ja my\u00f6s helppo l\u00f6yt\u00e4\u00e4.<\/p>\n\n\n\nASN ja CIDR p\u00e4hkin\u00e4nkuoressa<\/h3>\n\n\n\n
\n\n
192.168.1.0\/24<\/code>). Suffixi \/24<\/code> kertoo verkon koon ja rajaa osoiteavaruuden.<\/li>\n\n<\/ul>\n\n\n\nMit\u00e4 haittaohjelma k\u00e4yt\u00e4nn\u00f6ss\u00e4 tekee sivustolle?<\/h2>\n\n\n\n
Tyypilliset varoitusmerkit (joita kannattaa oikeasti katsoa)<\/h2>\n\n\n\n
\n\n
index.php<\/code>) on \u00e4killisi\u00e4 muutoksia tai ep\u00e4selvi\u00e4 lis\u00e4yksi\u00e4<\/li>\n\n\namp-samaresmanor[.]pages[.]dev<\/code> (kirjoitan sen tarkoituksella \u201crikottuna\u201d). Sucurin mukaan URL oli analyysihetkell\u00e4 VirusTotalissa useamman toimijan blocklistalla, ja samaa endpointia l\u00f6ytyi k\u00e4yt\u00f6ss\u00e4 useammalta infektoidulta sivustolta.<\/p>\n\n\n\nMiten hy\u00f6kk\u00e4ys oli rakennettu: portinvartija
index.php<\/code>:ss\u00e4<\/h2>\n\n\n\n1) Monikerroksinen tunnistus: ensin User-Agent, sitten IP-varmennus<\/h3>\n\n\n\n
HTTP_USER_AGENT<\/code>. Mutta koska User-Agent on helppo v\u00e4\u00e4rent\u00e4\u00e4, t\u00e4m\u00e4 on vain \u201cesisuodatin\u201d: sen j\u00e4lkeen tehd\u00e4\u00e4n varsinainen varmistus IP-osoitteesta.<\/p>\n\n\n\nGooglebot<\/code>-merkkijonoon, vaan mukana oli my\u00f6s muita Googlen ty\u00f6kaluja ja crawler-tyyppisi\u00e4 tunnisteita, jotta roskasis\u00e4lt\u00f6 p\u00e4\u00e4tyisi indeksoiduksi ja \u201cn\u00e4kyisi\u201d Googlen eri prosesseille.<\/p>\n\n\n\n2) CIDR-alueen tarkistus bitwise-operaatioilla (IPv4)<\/h3>\n\n\n\n