{"id":87,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/pl\/cloaking-2-0-wordpress-malware-weryfikacja-ip-asn-googlebota\/"},"modified":"2026-01-20T06:32:50","modified_gmt":"2026-01-20T05:32:50","slug":"cloaking-2-0-wordpress-malware-weryfikacja-ip-asn-googlebota","status":"publish","type":"post","link":"https:\/\/helloblog.io\/pl\/cloaking-2-0-wordpress-malware-weryfikacja-ip-asn-googlebota\/","title":{"rendered":"Cloaking 2.0 w WordPressie: malware, kt\u00f3re pokazuje Googlebotowi inny \u015bwiat (z weryfikacj\u0105 IP po ASN)"},"content":{"rendered":"\n

W klasycznych infekcjach WordPressa naj\u0142atwiej zauwa\u017cy\u0107 \u201eco\u015b nie tak\u201d: dziwne przekierowania, pop-upy, podejrzane skrypty. Coraz cz\u0119\u015bciej jednak obserwuj\u0119 inny trend: atak jest zaprojektowany tak, \u017ceby w\u0142a\u015bciciel strony podczas normalnego przegl\u0105dania widzia\u0142 czyst\u0105 witryn\u0119, a zainfekowana tre\u015b\u0107 trafia\u0142a wy\u0142\u0105cznie do crawler\u00f3w (robot\u00f3w indeksuj\u0105cych). Efekt? Google widzi spam lub obce tre\u015bci, a Ty w panelu i na froncie widzisz \u201ewszystko OK\u201d \u2014 a\u017c do spadku w wynikach lub deindeksacji.<\/p>\n\n\n\n

\"Schemat
Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Co wykryto: selektywne wstrzykni\u0119cie tre\u015bci w index.php<\/h2>\n\n\n\n

W opisywanym przypadku z\u0142o\u015bliwy kod zosta\u0142 umieszczony w g\u0142\u00f3wnym pliku index.php<\/strong> WordPressa. To newralgiczne miejsce: standardowo ten plik inicjuje \u0142adowanie \u015brodowiska i przekazuje sterowanie do w\u0142a\u015bciwego \u201efront controllera\u201d. Po modyfikacji zaczyna zachowywa\u0107 si\u0119 jak bramka (gatekeeper): najpierw pr\u00f3buje ustali\u0107, kto odwiedza stron\u0119, a dopiero potem decyduje, czy uruchomi\u0107 WordPressa normalnie, czy wstrzykn\u0105\u0107 zewn\u0119trzny payload.<\/p>\n\n\n\n

Taki wzorzec wpisuje si\u0119 w techniki SEO cloaking<\/strong> (cloaking = pokazywanie innych tre\u015bci robotom i ludziom), tylko \u017ce tu autor zadba\u0142 o znacznie mocniejsz\u0105 identyfikacj\u0119 robota ni\u017c w typowych \u201eif (Googlebot) { \u2026 }\u201d opartych wy\u0142\u0105cznie o nag\u0142\u00f3wek User-Agent.<\/p>\n\n\n\n

\"Zrzut
W praktyce w\u0142a\u015bciciel widzi normaln\u0105 stron\u0119, a robot indeksuj\u0105cy dostaje spam lub obc\u0105 tre\u015b\u0107. \u2014 Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Co by\u0142o nietypowe: weryfikacja Googlebota po ASN i CIDR (z IPv6)<\/h2>\n\n\n\n

Wi\u0119kszo\u015b\u0107 cloaker\u00f3w zatrzymuje si\u0119 na sprawdzeniu HTTP_USER_AGENT<\/code>. To proste do obej\u015bcia (User-Agent da si\u0119 podszy\u0107 w sekund\u0119). W tym wariancie malware zawiera\u0142o du\u017c\u0105, zahardcodowan\u0105 list\u0119 zakres\u00f3w IP Google powi\u0105zanych z ASN<\/strong> (Autonomous System Number) zapisanych w formacie CIDR<\/strong>. Nast\u0119pnie skrypt wykonywa\u0142 matematyczn\u0105 weryfikacj\u0119, czy IP odwiedzaj\u0105cego faktycznie mie\u015bci si\u0119 w kt\u00f3rym\u015b z tych zakres\u00f3w \u2014 i robi\u0142 to r\u00f3wnie\u017c dla IPv6<\/strong>, co w starszych skryptach cz\u0119sto jest pomijane.<\/p>\n\n\n\n

ASN: po co atakuj\u0105cemu \u201eto\u017csamo\u015b\u0107 sieciowa\u201d Google?<\/h3>\n\n\n\n

ASN (Autonomous System Number)<\/strong> mo\u017cesz traktowa\u0107 jako identyfikator organizacji w globalnym routingu internetu. Google ma w\u0142asne ASN-y i przypisane do nich pule adres\u00f3w IP u\u017cywane przez ich infrastruktur\u0119 (m.in. do wyszukiwarki i crawler\u00f3w). Je\u015bli ruch faktycznie pochodzi z takich pul, jest du\u017co wi\u0119ksza szansa, \u017ce to prawdziwy robot Google, a nie kto\u015b udaj\u0105cy go nag\u0142\u00f3wkiem.<\/p>\n\n\n\n

CIDR: co oznacza zapis z uko\u015bnikiem?<\/h3>\n\n\n\n

CIDR<\/strong> to skr\u00f3towy zapis zakresu adres\u00f3w IP w postaci \u201eadres bazowy + maska\u201d, np. 192.168.1.0\/24<\/code>. Zamiast wypisywa\u0107 ka\u017cdy adres osobno, definiujesz blok i jego rozmiar. To standardowy format u\u017cywany w firewallach, routingach i konfiguracjach sieciowych.<\/p>\n\n\n\n

\"Ilustracja
Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

Jak dzia\u0142a ten malware krok po kroku<\/h2>\n\n\n\n

W praktyce to zestaw kilku warstw filtr\u00f3w, kt\u00f3re maj\u0105 jeden cel: poda\u0107 z\u0142o\u015bliw\u0105 tre\u015b\u0107 tylko prawdziwemu Google (i powi\u0105zanym narz\u0119dziom), a wszystkich innych odes\u0142a\u0107 na normaln\u0105 stron\u0119 \u2014 tak, \u017ceby infekcja by\u0142a trudna do zauwa\u017cenia r\u0119cznie.<\/p>\n\n\n\n

1) Wielowarstwowa identyfikacja: User-Agent + IP<\/h3>\n\n\n\n

Najpierw skrypt przegl\u0105da HTTP_USER_AGENT<\/code> w poszukiwaniu ci\u0105g\u00f3w znak\u00f3w zwi\u0105zanych z Googlebotem i us\u0142ugami Google (nie tylko \u201eGooglebot\u201d, ale te\u017c frazy kojarzone z narz\u0119dziami weryfikacji, inspekcji czy crawlerami API). Dopiero potem uruchamia weryfikacj\u0119 IP, bo sam User-Agent jest niewiarygodny.<\/p>\n\n\n\n

\"Schemat
Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

2) Walidacja IP w stylu \u201esieciowym\u201d (operacje bitowe)<\/h3>\n\n\n\n

Zamiast por\u00f3wnywa\u0107 tekstowo, malware sprowadza adresy IP i mask\u0119 do postaci liczbowej i sprawdza dopasowanie do sieci poprzez operacje bitowe (typowe podej\u015bcie w narz\u0119dziach sieciowych). Dla IPv4 logika sprowadza si\u0119 do por\u00f3wnania adresu po na\u0142o\u017ceniu maski (tzw. network match).<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>