Dawno, dawno temu, w czasach, kiedy nie było pokemonów, hakerzy włamywali się na serwery, żeby zyskać “sławę” lub zwyczajnie pokazać administratorowi istniejące luki. Z czasem jednak przebrzydła komercha wkroczyła w tę “sielankę” i cwani ludzie zaczęli pobierać poufne dane, kraść numery kart kredytowych, itp. Ostatnio natomiast nasilają się ataki hakerów-spamerów, którzy umieszczają dzięki dziurawym skryptom swoje linki, czy wręcz całe doorway’e na silnych domenach.
O co chodzi z tym wstępem?

Od kilku dni trwa zmasowany atak na WordPressy w wersjach <2.3.3, w których już jakiś czas temu wykryto poważny błąd. Cechą charakterystyczną tego ataku jest tworzenie katalogu “wp-content/1/” i w nim utworzenie kilku/kilkunastu doorway’ów. W momencie, kiedy to piszę, googielek ma zaindeksowane niemal 21000 podejrzanych stron. Przy okazji muszę przyznać, że jestem pod wrażeniem rozmachu przeprowadzonej operacji. Wiadomo, że można ustrzec się takich nieprzewidywanych włamów dbając o instalowanie zawsze najnowszych wersji skryptów, monitorowanie na bieżąco wszelkiego nieprawidłowego ruchu na stronach, i tak dalej. Albo… Tacy hakerzy to sprytni ludzie, ale można być od nich sprytniejszym i wykorzystać ich “pracę”. Wiadomo, że żeby taki doorway się zaindeksował, muszą prowadzić do niego linki, najlepiej masa linków, zewnętrznych linków. A linki – wiadomo: wzmacniają stronę. Te akurat linki nie wypozycjonują strony na jakieś konkretne i użyteczne frazy (anchory będą zapewne z gatunku xxx&pills&hazard) i na takiej domenie nikt rozsądny nie odważyłby się postawić żadnego poważnego serwisu, ale stronę zapleczową w rodzaju Scuttle’a, czy innego autobloga – czemu nie? Jak to zrobić? W momencie, kiedy stwierdzisz zhakowanie swojej strony jak najszybciej usuń drażliwe pliki (lub zachowaj do użytku własnego 🙂 ) oraz zrób przekierowanie 301 z nich na stronę główną, lub mapę “legalnych” części witryny. Musisz liczyć się z tym, że w zależności od stopnia operatywności hakera, w krótkim czasie domena może przeżyć namiastkę digg-effect (nawet kilka tysięcy wejść) – “goły” WordPress może wówczas zajechać serwer. Stanowczo odradzam natomiast umieszczanie reklam AdSense w celu spieniężenia ruchu – myślę, że ryzyko bana jest w takim przypadku bardzo duże (“Stwierdziliśmy nieprawidłowe kliknięcia, blablabla…”). Można wybrać na przykład bezpieczniejsze aukcje eBay-a (ruch jest głównie z Hammeryki Północnej). Przykładowy plik .htaccess dla WordPressa, zaatakowanego w sposób opisany wyżej: # BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^wp-content/1/(.*)$ http://www.twojadomena.pl [R=301,L,NC,QSA]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress
Wady

Jednak, żeby nie było za prosto, ta metoda ma pewne wady:
-nie ma pewności, że ktokolwiek zechce kiedykolwiek połknąć haczyk z taką przynętą,
-właściciele innych zhakowanych serwisów, na których są umieszczone linki do takiego “wabika” mogą mieć o te linki pretensje; teoretycznie wystarczy wyjaśnić, że sami padliśmy ofiarą hakera,
-linki przychodzące pierwotnie do doorway’ów z czasem mogą zniknąć,
-należy monitorować taki “honey-pot” i zareagować odpowiednio szybko, między innymi dlatego, żeby domena nie dostała bana lub nie została oznaczona jako “zawierająca złośliwe oprogramowanie”. Przydatna do tego może być usługa Alerts, gdzie należy ustawić monitorowanie zapytania:
site:twojadomena.pl sex

site:twojadomena.pl porn

lub podobne.
Przykład z życia wzięty

W połowie lutego na niemal zapomnianego przeze mnie WordPressa na śmieciowej domenie, włamał się taki haker-spamer. Dostałem w “prezencie” około 80MB pięknie wyprodukowanych doorway’ów + kilka tysięcy linków do nich z różnych źródeł (podobnież zhakowane strony, kilka guestbooków, kilka for, kilka splogów). Jego pech (a moje szczęście 😉 ) polegało na tym, że dosłownie 2 dni po włamie zaplanowałem wreszcie zająć się tą domeną. Oczywiście w czasie przeglądania statystyk zwróciły moją uwagę wejścia z wyszukiwarek na mocno podejrzane frazy. Dogłębna analiza struktury katalogów i wrzucam w .htaccess formułkę przekierowującą kodem 301 doorway’e na stronę główną. Sam WordPress oczywiście zaktualizowałem i zrobiłem z niego autobloga. Po kilku tygodniach efekt jest taki, że googielek tę właśnie do niedawna śmieciową domenę uważa za pierwotne źródło contentu, ciągniętego z RSS-ów; innymi słowy wpisy ze stron oryginalnych dostają się w “Supplemental Index” mimo, iż pochodzą z domen z PR3 – PR4!

A zatem spróbuj i Ty “wykorzystać hakera”: postawić na próbę starszą wersję popularnego skryptu, po czym cierpliwie monitorować i czekać… W efekcie możesz dostać nieźle dopaloną domenę, na której wszystko zaindeksuje się w błyskawicznym tempie. 😉