{"id":110,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/nl\/wordpress-malware-googlebot-asn-ip-verificatie-cloaking\/"},"modified":"2026-01-20T06:32:47","modified_gmt":"2026-01-20T05:32:47","slug":"wordpress-malware-googlebot-asn-ip-verificatie-cloaking","status":"publish","type":"post","link":"https:\/\/helloblog.io\/nl\/wordpress-malware-googlebot-asn-ip-verificatie-cloaking\/","title":{"rendered":"WordPress-malware die Googlebot selectief bedient met ASN\/IP-verificatie: zo werkt het (en waar je op let)"},"content":{"rendered":"\n

De klassieke \u201credirect iedereen naar spam\u201d zie je steeds minder. Aanvallers worden subtieler: ze willen dat alleen<\/em> zoekmachinecrawlers de payload zien, terwijl normale bezoekers (en vaak ook de site-eigenaar) niets merken. Een recente variant die ik tegenkwam is extra interessant, omdat de malware niet alleen op de User-Agent<\/code> vertrouwt, maar Googlebot ook verifieert op IP-niveau via Google\u2019s ASN-ranges \u2014 inclusief IPv6 \u2014 met bitwise checks.<\/p>\n\n\n\n

In dit artikel leg ik uit wat er technisch gebeurt, waarom dit zo lastig te spotten is, welke signalen je w\u00e9l kunt zien, en welke praktische maatregelen dit type aanval sneller boven water halen.<\/p>\n\n\n\n

Wat er werd aangetroffen: selectieve content injection in index.php<\/h2>\n\n\n\n

De kern van de infectie zat in een plek waar je \u2019m misschien niet direct verwacht, maar die wel maximale controle geeft: het hoofdbestand index.php<\/code> van een WordPress-site. In plaats van altijd de normale WordPress-bootstrapping te doen, fungeert die aangepaste index.php<\/code> als een poortwachter.<\/p>\n\n\n\n

Afhankelijk van wie de bezoeker is, gebeurt \u00e9\u00e9n van de volgende dingen:<\/p>\n\n\n\n

    \n\n
  • WordPress laadt \u2018gewoon\u2019 en bezoekers zien de originele site.<\/li>\n\n\n
  • Een crawler (specifiek Google-infra) krijgt extern opgehaalde content geserveerd, alsof die op jouw site staat.<\/li>\n\n<\/ul>\n\n\n\n
    \"Diagram
    De aanval draait om conditionele logica: alleen voor geselecteerde bezoekers wordt afwijkende content geladen. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    Waarom deze variant opvalt: Googlebot-check op ASN\/IP-range (niet alleen User-Agent)<\/h2>\n\n\n\n

    Cloaking (verschillende content tonen aan bots versus mensen) is niet nieuw. Wat hier opvalt, is de uitvoering. Veel scripts blijven steken op een simpele User-Agent<\/code>-match (bijv. \u201cGooglebot\u201d). Dat is makkelijk te spoofen, dus makkelijk te testen.<\/p>\n\n\n\n

    Deze malware gaat een stap verder: er zit een hardcoded lijst in met Google\u2019s ASN (Autonomous System Number) IP-ranges, genoteerd in CIDR-formaat. Daardoor wordt de payload alleen getoond als (1) de User-Agent<\/code> past \u00e9n (2) het IP-adres daadwerkelijk binnen Google\u2019s eigen netwerkblokken valt.<\/p>\n\n\n\n

    ASN en CIDR in \u00e9\u00e9n alinea (praktisch bekeken)<\/h3>\n\n\n\n

    Een ASN kun je zien als de \u201cinternet-identiteit\u201d van een organisatie: een set netwerkblokken die bij bijvoorbeeld Google horen. CIDR is de compacte notatie voor zo\u2019n blok, zoals 192.168.1.0\/24<\/code>, waarmee je een hele range beschrijft in plaats van losse IP\u2019s. Handig voor routing en filtering \u2014 en dus ook voor malware die heel precies wil selecteren.<\/p>\n\n\n\n

    \"Uitlegafbeelding
    CIDR maakt IP-range checks compact en effici\u00ebnt. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

    Het technische mechanisme: bitwise IP-validatie en IPv6-support<\/h2>\n\n\n\n

    In plaats van IP-adressen \u2018tekstueel\u2019 te vergelijken, gebruikt de code bitwise operaties om te controleren of een IP binnen een bepaald netwerkblok valt. Dat is precieser, lastiger fout te implementeren (dus opvallend \u201ckwalitatief\u201d), en werkt goed met grote lijsten ranges.<\/p>\n\n\n\n

    <\/circle><\/circle><\/circle><\/g><\/svg><\/span>