{"id":207,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/hu\/googlebot-ip-tartomanyokra-epito-wordpress-cloaking-malware\/"},"modified":"2026-01-20T06:32:33","modified_gmt":"2026-01-20T05:32:33","slug":"googlebot-ip-tartomanyokra-epito-wordpress-cloaking-malware","status":"publish","type":"post","link":"https:\/\/helloblog.io\/hu\/googlebot-ip-tartomanyokra-epito-wordpress-cloaking-malware\/","title":{"rendered":"Googlebotra c\u00e9loz, neked l\u00e1thatatlan: IP-tartom\u00e1nyokra \u00e9p\u00edt\u0151 WordPress cloaking malware"},"content":{"rendered":"\n

Az egyik legkellemetlenebb WordPress-es fert\u0151z\u00e9s az, amit nem is nagyon tudsz \u201e\u00e9szrevenni\u201d. A site neked \u00e9s a norm\u00e1l l\u00e1togat\u00f3knak rendben bet\u00f6lt, nincs l\u00e1tv\u00e1nyos \u00e1tir\u00e1ny\u00edt\u00e1s, nem ugrik fel gyan\u00fas popup \u2013 k\u00f6zben viszont a keres\u0151motorok (k\u00fcl\u00f6n\u00f6sen a Google) teljesen m\u00e1s tartalmat kapnak. Ennek eredm\u00e9nye tipikusan SEO-spam, indexel\u00e9si k\u00e1osz, reput\u00e1ci\u00f3roml\u00e1s, rosszabb esetben feketelist\u00e1z\u00e1s.<\/p>\n\n\n\n

A Sucuri egy olyan esetr\u0151l \u00edrt, ahol a t\u00e1mad\u00f3k nem el\u00e9gedtek meg a szok\u00e1sos, k\u00f6nnyen hamis\u00edthat\u00f3 User-Agent sz\u0171r\u00e9ssel. A malware a Google infrastrukt\u00far\u00e1j\u00e1hoz tartoz\u00f3 IP-tartom\u00e1nyokat is ellen\u0151rizte (r\u00e1ad\u00e1sul IPv4 \u00e9s IPv6 eset\u00e9n is), \u00e9s csak akkor szolg\u00e1lta ki a rejtett payloadot, ha a k\u00e9r\u00e9st t\u00e9nyleg \u201eigazi\u201d Googlebotnak gondolta.<\/p>\n\n\n\n

Mi t\u00f6rt\u00e9nt a gyakorlatban? Index.php mint kapu\u0151r<\/h2>\n\n\n\n

A vizsg\u00e1lt fert\u0151z\u00e9s a WordPress oldal f\u0151 bel\u00e9p\u00e9si pontj\u00e1ba, az index.php<\/code> f\u00e1jlba ker\u00fclt. Ez k\u00fcl\u00f6n\u00f6sen vesz\u00e9lyes hely: ha a t\u00e1mad\u00f3 itt d\u00f6nt arr\u00f3l, hogy mi fusson le, akkor gyakorlatilag a teljes alkalmaz\u00e1s ind\u00edt\u00e1sa el\u0151tt tud szelekt\u00e1lni.<\/p>\n\n\n\n

A logika l\u00e9nyege: a m\u00f3dos\u00edtott index.php<\/code> el\u0151sz\u00f6r azonos\u00edtani pr\u00f3b\u00e1lja a l\u00e1togat\u00f3t. Ha \u201e\u00e1tlagos\u201d felhaszn\u00e1l\u00f3 vagy, a WordPress a megszokott m\u00f3don szolg\u00e1l ki. Ha viszont a l\u00e1togat\u00f3 egy keres\u0151robotnak t\u0171nik, akkor a t\u00e1mad\u00f3 \u00e1ltal megadott k\u00fcls\u0151 forr\u00e1sb\u00f3l t\u00f6lt be tartalmat, \u00e9s azt adja vissza a robotnak \u2013 mintha az az oldal saj\u00e1t tartalma lenne.<\/p>\n\n\n\n

\"\u00c1ttekint\u0151
A t\u00e1mad\u00e1s szelekt\u00edven d\u00f6nt: tiszta oldal a felhaszn\u00e1l\u00f3nak, k\u00fcls\u0151 payload a robotnak. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Mi\u00e9rt \u00fajdons\u00e1g ez? Nem csak User-Agent alapj\u00e1n sz\u0171r<\/h2>\n\n\n\n

A cloaking (amikor a keres\u0151robot m\u00e1st l\u00e1t, mint a felhaszn\u00e1l\u00f3) nem \u00faj tr\u00fckk. Az viszont ritk\u00e1bb, hogy a t\u00e1mad\u00f3 ennyire \u201eprec\u00edzen\u201d azonos\u00edt: a script egy nagy, hardcode-olt list\u00e1t tartalmazott Google ASN-hez (Autonomous System Number) k\u00f6thet\u0151 IP-tartom\u00e1nyokr\u00f3l CIDR form\u00e1tumban.<\/p>\n\n\n\n

ASN r\u00f6viden: mit jelent, \u00e9s mi\u00e9rt fontos?<\/h3>\n\n\n\n

Az ASN (Autonomous System Number) l\u00e9nyeg\u00e9ben egy h\u00e1l\u00f3zati \u201eazonos\u00edt\u00f3\u201d az interneten: IP-c\u00edmblokkok \u00e9s \u00fatvonalak szervez\u0151dnek al\u00e1, tipikusan nagy szolg\u00e1ltat\u00f3khoz (p\u00e9ld\u00e1ul Google) kapcsol\u00f3dva. Ha egy k\u00e9r\u00e9s a Google ASN-hez tartoz\u00f3 h\u00e1l\u00f3zatb\u00f3l \u00e9rkezik, az j\u00f3 es\u00e9llyel val\u00f3di Google infrastrukt\u00fara \u2013 nem csak valaki, aki be\u00edrta a User-Agentbe, hogy Googlebot.<\/p>\n\n\n\n

CIDR: hogyan \u00edrunk le IP-tartom\u00e1nyt t\u00f6m\u00f6ren?<\/h3>\n\n\n\n

A CIDR (Classless Inter-Domain Routing) egy t\u00f6m\u00f6r jel\u00f6l\u00e9s IP-tartom\u00e1nyokra. P\u00e9ld\u00e1ul a 192.168.1.0\/24<\/code> azt jelenti, hogy a 192.168.1.0<\/code>\u2013192.168.1.255<\/code> tartom\u00e1ny egy blokk. A perjel ut\u00e1ni sz\u00e1m (itt 24) a h\u00e1l\u00f3zati maszk m\u00e9ret\u00e9t adja meg, vagyis hogy mekkora a tartom\u00e1ny.<\/p>\n\n\n\n

\"CIDR
A CIDR jel\u00f6l\u00e9s azt mutatja meg, mekkora IP-blokkot fed le a tartom\u00e1ny. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Hogyan m\u0171k\u00f6dik a malware? T\u00f6bbr\u00e9teg\u0171 ellen\u0151rz\u00e9s \u00e9s t\u00e1voli tartalom bet\u00f6lt\u00e9se<\/h2>\n\n\n\n

A minta alapj\u00e1n ez a fert\u0151z\u00e9s egy klasszikus \u201ekapu\u0151r\u201d (gatekeeper) megold\u00e1s: t\u00f6bb l\u00e9p\u00e9sben pr\u00f3b\u00e1lja biztos\u00edtani, hogy csak a megfelel\u0151 c\u00e9lpont (Google robot \u00e9s kapcsol\u00f3d\u00f3 eszk\u00f6z\u00f6k) kapja meg a rejtett tartalmat.<\/p>\n\n\n\n

1) T\u00f6bbl\u00e9pcs\u0151s azonos\u00edt\u00e1s: User-Agent + IP valid\u00e1l\u00e1s<\/h3>\n\n\n\n

Els\u0151 k\u00f6rben a script megn\u00e9zi a HTTP_USER_AGENT<\/code> fejl\u00e9cet. A User-Agent egy sz\u00f6veg, amit a b\u00f6ng\u00e9sz\u0151 (vagy crawler) minden k\u00e9r\u00e9sn\u00e9l elk\u00fcld, \u00e9s tipikusan tartalmazza, hogy milyen kliensr\u0151l, eszk\u00f6zr\u0151l, oper\u00e1ci\u00f3s rendszerr\u0151l van sz\u00f3. Ezt nagyon k\u00f6nny\u0171 hamis\u00edtani, ez\u00e9rt j\u00f6n a m\u00e1sodik l\u00e9p\u00e9s: az IP-tartom\u00e1ny ellen\u0151rz\u00e9se.<\/p>\n\n\n\n

\"\u00c1bra
A t\u00e1mad\u00f3k a k\u00f6nnyen hamis\u00edthat\u00f3 User-Agentet IP-szint\u0171 ellen\u0151rz\u00e9ssel er\u0151s\u00edtik meg. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

2) Bitm\u0171veletes IP-tartom\u00e1ny ellen\u0151rz\u00e9s (IPv4\/IPv6)<\/h3>\n\n\n\n

A technikailag \u00e9rdekes r\u00e9sz az, hogy a script nem \u201estring keres\u00e9st\u201d v\u00e9gez IP-c\u00edmekre, hanem sz\u00e1mol: bitm\u0171veletekkel ellen\u0151rzi, hogy a l\u00e1togat\u00f3 IP-je beleesik-e egy adott CIDR tartom\u00e1nyba. A Sucuri p\u00e9ld\u00e1ja IPv4-re ezt a logik\u00e1t mutatja:<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>