{"id":72,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/lt\/kai-wordpress-index-php-pradeda-kalbetis-tik-su-googlebot-pazangus-cloaking-su-ip-asn-tikrinimu\/"},"modified":"2026-01-20T06:33:12","modified_gmt":"2026-01-20T05:33:12","slug":"kai-wordpress-index-php-pradeda-kalbetis-tik-su-googlebot-pazangus-cloaking-su-ip-asn-tikrinimu","status":"publish","type":"post","link":"https:\/\/helloblog.io\/lt\/kai-wordpress-index-php-pradeda-kalbetis-tik-su-googlebot-pazangus-cloaking-su-ip-asn-tikrinimu\/","title":{"rendered":"Kai WordPress index.php pradeda \u201ekalb\u0117tis\u201c tik su Googlebot: pa\u017eangus cloaking su IP (ASN) tikrinimu"},"content":{"rendered":"\n
Pastaruoju metu vis da\u017eniau matyti ne triuk\u0161mingi \u201eperadresuok visus \u012f spam\u0105\u201c scenarijai, o gerokai subtilesn\u0117s infekcijos. Id\u0117ja paprasta: svetain\u0117s savininkas ir real\u016bs lankytojai mato \u012fprast\u0105 turin\u012f, o paie\u0161kos sistem\u0173 robotams pateikiamas kitas \u2013 da\u017eniausiai spam, doorway ar \u201eaffiliate\u201c turinys. Tokia taktika leid\u017eia i\u0161naudoti svetain\u0117s reputacij\u0105 SEO tikslams ir ilgiau i\u0161likti nepasteb\u0117tai.<\/p>\n\n\n\n
Kas buvo aptikta: selektyvi turinio injekcija WordPress index.php<\/h2>\n\n\n\n
Analizuojant vien\u0105 u\u017ekr\u0117st\u0105 WordPress svetain\u0119, kenk\u0117ji\u0161kas kodas buvo rastas pagrindiniame index.php<\/code>. Vietoje \u012fprasto WordPress \u201ebootstrap\u201c (\u012fk\u0117limo) srauto \u0161is failas elg\u0117si kaip vartininkas: pirmiausia nustatydavo, kas at\u0117jo \u012f svetain\u0119, o tada priimdavo sprendim\u0105 \u2013 rodyti \u0161var\u0173 puslap\u012f ar \u012fterpti nuotolin\u012f turin\u012f.<\/p>\n\n\n\n
Svarbiausia detal\u0117: tai ne vien User-Agent filtravimas. \u0160\u012f kart\u0105 buvo naudojamas IP tikrinimas pagal Google priklausan\u010dius tinklus \u2013 ir dar su tikra tinkl\u0173 matematika, o ne paprastu \u201estring match\u201c.<\/p>\n\n\n\nKenk\u0117ji\u0161kas \u201evartininkas\u201c sprend\u017eia, kam rodyti nuotolin\u012f payload\u2019\u0105. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
Kuo \u0161is atvejis i\u0161siskiria: Google ASN diapazonai ir CIDR + bitin\u0117s operacijos<\/h2>\n\n\n\n
Dauguma \u201ecloaking\u201c (turinio maskavimo) skript\u0173 apsiriboja User-Agent<\/code> eilute: jei joje yra \u201eGooglebot\u201c \u2013 rodome vien\u0105, jei ne \u2013 kit\u0105. Problema ta, kad User-Agent<\/code> lengva suklastoti. Tod\u0117l \u0161i infekcija \u0117jo toliau: ji tur\u0117jo \u201ehardcodint\u0105\u201c (\u012fra\u0161yt\u0105 tiesiai \u012f kod\u0105) didel\u012f Google ASN IP diapazon\u0173 s\u0105ra\u0161\u0105 CIDR formatu ir tikrino, ar u\u017eklausa tikrai at\u0117jo i\u0161 Google infrastrukt\u016bros.<\/p>\n\n\n\n
Kas yra ASN (Autonomous System Number) \u0161iame kontekste?<\/h3>\n\n\n\n
ASN (Autonomous System Number) \u2013 tai autonomin\u0117s sistemos numeris, savoti\u0161kas organizacijos \u201einterneto identitetas\u201c. Praktikoje tai rei\u0161kia IP adres\u0173 blokus, kurie priklauso ir yra valdomi, pvz., Google (Gmail, Search, Google Cloud ir pan.). Jei u\u017eklausa ateina i\u0161 Google ASN priklausan\u010dio IP, tikimyb\u0117, kad tai \u201etikras\u201c Google crawler\u2019is, yra nepalyginamai didesn\u0117 nei vien pasitikint User-Agent<\/code>.<\/p>\n\n\n\n
Kas yra CIDR formatas?<\/h3>\n\n\n\n
CIDR (Classless Inter-Domain Routing) \u2013 kompakti\u0161kas b\u016bdas apra\u0161yti IP blok\u0105, pvz. 192.168.1.0\/24<\/code>. Vietoje to, kad vardintume kiekvien\u0105 adres\u0105, nurodome tinklo prad\u017ei\u0105 ir prefikso ilg\u012f (\/24<\/code>), kuris apibr\u0117\u017eia, kiek adres\u0173 patenka \u012f t\u0105 blok\u0105.<\/p>\n\n\n\nCIDR leid\u017eia apra\u0161yti IP blok\u0105 vienu \u012fra\u0161u. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
Praktin\u0117 \u0161io sprendimo nauda u\u017epuolikui: jis gali rodyti kenk\u0117ji\u0161k\u0105 turin\u012f tik realiems Google servisams, o bet kokiam \u201erankiniam tikrinimui\u201c (nar\u0161ykl\u0117je, per paprast\u0105 curl, per daugum\u0105 monitoring\u2019\u0173) \u2013 \u0161vari\u0105 svetain\u0119. Dar viena detal\u0117 \u2013 skriptas tur\u0117jo solid\u0173 IPv6 palaikym\u0105, kurio senesni cloaking pavyzd\u017eiai da\u017enai neturi.<\/p>\n\n\n\n
K\u0105 tai daro tavo svetainei: ne tiek \u201ehack\u201c, kiek SEO reputacijos sabota\u017eas<\/h2>\n\n\n\n
Tokios infekcijos tikslas da\u017eniausiai n\u0117ra tiesiogiai u\u017ekr\u0117sti lankytoj\u0173 \u012frenginius. Pagrindinis sm\u016bgis \u2013 paie\u0161kos rezultatams ir domeno reputacijai, nes Google indeksuoja turin\u012f, kurio real\u016bs \u017emon\u0117s nemato.<\/p>\n\n\n\n
\n\n
Deindeksavimas arba dalinis i\u0161metimas i\u0161 paie\u0161kos (kai Google pamato spam \/ doorway turin\u012f).<\/li>\n\n\n
Blacklisting \/ reputacijos signalai, kurie v\u0117liau atsiliepia visam projektui.<\/li>\n\n\n
Resurs\u0173 \u201ehijacking\u201c \u2013 svetain\u0117s autoritetas naudojamas svetimam turiniui kelti.<\/li>\n\n\n
V\u0117luojantis aptikimas: savininkas nar\u0161o ir nemato problemos, tod\u0117l incidentas t\u0119siasi ilgiau.<\/li>\n\n<\/ul>\n\n\n\nCloaking esm\u0117 \u2013 skirtingas turinys botams ir \u017emon\u0117ms. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
Tipiniai po\u017eymiai, kad tai vyksta (net jei frontas atrodo \u201e\u0161varus\u201c)<\/h2>\n\n\n\n
\n\n
Keisti arba prasti Google rezultatai (netik\u0117ti title\/description, \u201espammy\u201c raktiniai \u017eod\u017eiai, nepa\u017e\u012fstami URL).<\/li>\n\n\n
\u012etartini i\u0161oriniai URL ar domenai, kurie atsiranda kode arba loguose.<\/li>\n\n\n
Netik\u0117ti \u012fra\u0161ai serverio loguose, ypa\u010d susij\u0119 su crawl\u2019eriais ir redirect\u2019ais.<\/li>\n\n<\/ul>\n\n\n\n
\n\n
Svarbi detal\u0117<\/h4>\n\n\n
\u0160i kampanija naudojo nuotolin\u012f \u0161altin\u012f hxxps:\/\/amp-samaresmanor[.]pages[.]dev<\/code> (apra\u0161yme min\u0117ta, kad domenas tuo metu buvo aptiktas VirusTotal ir siejamas su infekuotomis svetain\u0117mis). Jei toki\u0105 nuorod\u0105 pamatai kode ar loguose \u2013 tai rimtas indikatorius, kad vyksta selektyvus turinio tiekimas.<\/p>\n\n<\/div>\n\n\n\n
Kaip veikia \u201evartininkas\u201c index.php faile: 5 sluoksni\u0173 logika<\/h2>\n\n\n\n
U\u017ekr\u0117stas index.php<\/code> \u012fgyvendina s\u0105lygin\u0119 logik\u0105, kuri\u0105 patogu m\u0105styti kaip kelis patikros sluoksnius.<\/p>\n\n\n\n
Pirmiausia tikrinamas HTTP_USER_AGENT<\/code> (nar\u0161ykl\u0117s\/kliento identifikatorius, siun\u010diamas su kiekviena HTTP u\u017eklausa). Kadangi j\u012f suklastoti paprasta, po to vyksta IP validacija pagal Google tinkl\u0173 diapazonus.<\/p>\n\n\n\nVien User-Agent nepakanka \u2013 pridedamas IP patikrinimas. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n
2) IP tikrinimas bitin\u0117mis operacijomis (bitwise)<\/h3>\n\n\n\n
\u010cia ir prasideda \u201erimtesn\u0117\u201c dalis: vietoje paprasto palyginimo, ar IP patenka \u012f diapazon\u0105, naudojamos bitin\u0117s operacijos su netmask\u2019u. IPv4 logika i\u0161 esm\u0117s remiasi tokia lygybe (pateikiama kaip principas):<\/p>\n\n\n\n
![\"Schema:](\"https:\/\/helloblog.io\/app\/uploads\/sites\/20\/2026\/01\/IP-Verified-Conditional-Logic.png\")
![\"CIDR](\"https:\/\/helloblog.io\/app\/uploads\/sites\/20\/2026\/01\/CIDR-format.png\")
![\"Pavyzdys:](\"https:\/\/helloblog.io\/app\/uploads\/sites\/20\/2026\/01\/What-Google-sees.png\")
![\"Schema:](\"https:\/\/helloblog.io\/app\/uploads\/sites\/20\/2026\/01\/Multi-Layer-Identity-Verification.png\")