WordPress针对聪明的SEO注入恶意软件

针对搜索引擎优化注入而构建的一个聪明的恶意软件 - 黑帽子加载了一个带有垃圾链接，重定向和广告关键字的网页，这是网站所有者不知道的 - 已被视为通过一种创新方法逃避检测，其中涉及将自己附加到一个不寻常的位置。 WordPress网站的后端代码。

Sucuri的研究人员最近看到两个不相关的网站中出现恶意软件，针对正在寻找各种“免费”下载的英语和韩语搜索者。

经过分析，研究人员发现恶意软件有两个功能。 首先，它可以添加隐藏链接以供搜索引擎索引（这个过程通常违反搜索引擎服务条款并可能导致网站黑名单）; 其次，它可以将网站访问者重定向到垃圾内容。 后一种功能比平时更先进，因为它只重定向未注册的网站用户（可能是一次性访问者，他们不会将问题标记给网站管理员）。 并且，它会根据个人资料将访问者重定向到某些页面。

因此，犯罪分子可以将网站用户隐藏的搜索引擎优化条款注入网页的代码中，该代码将被编入索引并在搜索引擎结果中移动网站。 这改善了广告系列真正目的的曝光度，即将访问者重定向到粗略的外部网站，这可能会导致广告欺诈或提供恶意软件等。

一种精明的方法

根据Sucuri的说法，通常情况下，SEO注入涉及在主题文件中为隐藏元素注入HTML代码或在WordPress数据库中注入虚假垃圾邮件 - 在这两种情况下，注入都很容易通过文件搜索或关键字搜索来发现WordPress的。

“感染通常是通过简单的文件搜索找到攻击者在网页上注入的术语，”研究人员在周一的帖子中解释道。 “你在网站上找到了奢侈手袋的SEO垃圾邮件吗？ 搜索你的文件以查找该术语并发出声音。“从那里，网站所有者可以简单地删除流氓内容，然后提交网站进行黑名单审查/ SEO重建索引。

在这种情况下，恶意软件会在站点的数据库中创建一个特殊的存储库，以存储垃圾邮件内容和有关登录访问者的信息; 因此，这些使用与合法WordPress内容不同的前缀，而不仅仅是将垃圾邮件上传到正常的信息中心。 这意味着帖子不会加载或显示在网站的管理信息中心上。

当访问者访问该站点时，恶意软件会劫持加载页面时发生的正常WordPress数据库连接，并将该连接重定向到隐藏区域以获取垃圾邮件帖子的链接。 然后，它会将这些链接附加到合法内容，然后再将其发送回访问者的浏览器。

研究人员解释说：“攻击者足够智能，可以在返回控制权之前将数据库连接返回到默认表，因此WordPress的默认流程可以正常进行。” “注入的链接对人类访问者来说是不可见的，但搜索引擎会对其进行抓取和编制索引，从而成为搜索结果。”

为了根据个人资料将访问者重定向到第三方网站，恶意软件作者在垃圾邮件帖子中添加了特殊的JavaScript链接，以便随时将重定向信息注入到帖子中。

“[例如]，对黑客控制的我的游戏[。] biz网站的请求是根据访问者的IP地址，引荐来源和浏览器的用户代理字符串获取额外的自定义代码，”Sucuri解释说。

它还会在关闭HTML标记之后附加SEO垃圾邮件，这使得很难轻松找到恶意软件。

“经过一些广泛的搜索，我们注意到主题的functions.php文件中的可疑代码块从WordPress的wp_options表中加载内容，”研究人员指出。 “代码本身看起来很可疑，因为它默默地执行从数据库中提取的部分内容。 最重要的是，它加载了一个theme_css选项，而不是通常在典型的WordPress主题上加载CSS的方式。 在数据库中搜索该选项，我们发现了恶意软件本身。“

虽然Sucuri本身在野外发现了两个特定样本，但它执行了PublicWWW搜索（搜索引擎抓取源代码）并发现了已安装恶意软件的173个被黑网站。

“受这种黑帽SEO活动影响的黑客网站可以在一夜之间从大约一千个网站获得链接，”研究人员说。

Sucuri指出，网站所有者必须做的不仅仅是搜索以清除感染：他们需要从主题的功能中找到并删除恶意代码.php; 然后，找到并删除themes_css选项，该选项可能已被赋予随机名称。 最后，管理员应该检查他们的WordPress数据库中是否有未知前缀的表。