{"id":98,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/sv\/wordpress-malware-googlebot-asn-ip-verifiering\/"},"modified":"2026-01-20T06:33:17","modified_gmt":"2026-01-20T05:33:17","slug":"wordpress-malware-googlebot-asn-ip-verifiering","status":"publish","type":"post","link":"https:\/\/helloblog.io\/sv\/wordpress-malware-googlebot-asn-ip-verifiering\/","title":{"rendered":"N\u00e4r Google ser n\u00e5got helt annat \u00e4n bes\u00f6kare: WordPress-malware som verifierar Googlebots IP p\u00e5 ASN-niv\u00e5"},"content":{"rendered":"\n

Det klassiska m\u00f6nstret med “redirect alla till en skum dom\u00e4n” blir allt mindre vanligt. I st\u00e4llet ser vi attacker som \u00e4r selektiva p\u00e5 riktigt: vanliga bes\u00f6kare (och ofta \u00e4ven sajt\u00e4garen) f\u00e5r se en helt normal WordPress-sajt, medan s\u00f6kmotorer f\u00e5r ett helt annat inneh\u00e5ll. Det h\u00e4r \u00e4r extra lurigt, eftersom det fr\u00e4mst sl\u00e5r mot SEO och varum\u00e4rke \u2013 och kan p\u00e5g\u00e5 l\u00e4nge utan att n\u00e5gon m\u00e4rker n\u00e5got.<\/p>\n\n\n\n

I en nyligen analyserad incident hittades en s\u00e5dan selektiv injektion direkt i sajtens index.php<\/strong>. Den fungerade som en grindvakt: beroende p\u00e5 vem som gjorde requesten laddade den antingen WordPress som vanligt, eller h\u00e4mtade och skrev ut fj\u00e4rrinneh\u00e5ll fr\u00e5n en extern k\u00e4lla.<\/p>\n\n\n\n

Vad som g\u00f6r den h\u00e4r varianten mer avancerad \u00e4n vanlig cloaking<\/h2>\n\n\n\n

SEO cloaking i sig \u00e4r ingen ny teknik: m\u00e5nga skript tittar p\u00e5 User-Agent<\/code> och levererar spam till “Googlebot” och vanligt inneh\u00e5ll till m\u00e4nniskor. Det nya h\u00e4r var hur l\u00e5ngt angriparen gick f\u00f6r att s\u00e4kerst\u00e4lla att det verkligen var Google som tittade.<\/p>\n\n\n\n

I st\u00e4llet f\u00f6r att enbart lita p\u00e5 User-Agent<\/code> (som \u00e4r trivial att fejka), inneh\u00f6ll malwaren en stor, h\u00e5rdkodad lista med Googles IP-intervall kopplade till Googles ASN (Autonomous System Number). En ASN kan ses som en organisations “internet-identitet” \u2013 ett s\u00e4tt att gruppera IP-utrymmen som faktiskt \u00e4gs och anv\u00e4nds av exempelvis Google f\u00f6r Search, Gmail och Google Cloud.<\/p>\n\n\n\n

Listan var angiven i CIDR-format<\/strong> (Classless Inter-Domain Routing), allts\u00e5 ett kompakt s\u00e4tt att beskriva IP-block. Ett enkelt exempel \u00e4r 192.168.1.0\/24<\/code>, vilket representerar 256 adresser (192.168.1.0<\/code>\u2013192.168.1.255<\/code>). Prefixet \/24<\/code> beskriver storleken p\u00e5 n\u00e4tet (n\u00e4tmasken).<\/p>\n\n\n\n

\"Diagram
Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

S\u00e5 fungerar attackkedjan i praktiken<\/h2>\n\n\n\n

Det infekterade index.php<\/code>-fl\u00f6det var byggt f\u00f6r att (1) identifiera Googles crawlers, (2) verifiera att trafiken kommer fr\u00e5n Googles riktiga IP-utrymme och (3) bara d\u00e5 leverera angriparens inneh\u00e5ll. F\u00f6r alla andra blir allt \u201dsom vanligt\u201d.<\/p>\n\n\n\n

1) Flerlagers identifiering: User-Agent + IP-verifiering<\/h3>\n\n\n\n

F\u00f6rsta filtret var HTTP_USER_AGENT<\/code>: skriptet letade inte bara efter “Googlebot” utan \u00e4ven str\u00e4ngar f\u00f6r Googles olika verifierings- och inspektionsfl\u00f6den (t.ex. verktyg och API-crawlers). Po\u00e4ngen \u00e4r att f\u00e5 det injicerade inneh\u00e5llet b\u00e5de indexerat och “bekr\u00e4ftat” genom flera Google-tj\u00e4nster.<\/p>\n\n\n\n

\"Illustration
Forr\u00e1s: Sucuri Blog<\/em><\/figcaption><\/figure>\n\n\n\n

2) Bitvis IP-matchning mot CIDR (IPv4 + IPv6)<\/h3>\n\n\n\n

Det mest intressanta var IP-kontrollen. I st\u00e4llet f\u00f6r enkla j\u00e4mf\u00f6relser anv\u00e4nde skriptet bitvisa operationer f\u00f6r att r\u00e4kna ut om en IP-adress ligger inom ett visst CIDR-intervall. F\u00f6r IPv4 beskrevs logiken som en maskad j\u00e4mf\u00f6relse, i stil med:<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>