U pitanju je "Japanese keyword hack" malver kompromitacija gde maliciozni akteri ubacuju neželjene japanske stranice na sajt pa kada Google indeksira sajt će biti rangiran za te (japanske) ključne reči. Malver tako koristi sajt da poveća rangiranje drugih veb lokacija. Ovo je tipična taktika koju maliciozni akteri koriste da promovišu stranice i proizvode koji se obično ne bi dozvolili pod Google oglasima ili pravilima pretraživanja, ili za jednostavno dizanje ranga svog sajta na guglu.
Uobičajeno je da je sajt u potpunosti preuzet od strane malicioznih aktera, da redovni admin ne može da se uloguje na CMS admin, u ovom slučaju Wordpress. Moguće je i preuzimanje Google Search Console naloga radi dalje optimizacije kampanje.
Sajt na guglu izgleda ovako:
robots.txt je kompromitovan i vodi ka gomili velikih sitemap fajlova koji dalje guraju kompromitovane stranice sa sajta:
i jedan primer, svi maliciozni sitemap fajlovi su slični:
Obični korisnik vidi redovan izgled sajta i ne zna da je bilo šta čudno, ali ako pristupate sajtu sa User-Agentom gugl bota dobijete sledeće i to je ono što gugl indeksira :
Kako dolazi do ovakve kompromitacije i kako je rešiti?
Verovatno najčešći slučaj je usled neažuriranih i starih verzija Wordpressa, WP plugina i WP tema. Moguće je i preko loših i lako pogodivih šifara za wp-admin
Najbolje rešenje u ovom slučaju je kompletna reinstalacija WP-a ili povratak iz bekapa pre kompromitacije, kao i ažuriranje svega što ima poznate ranjivosti, uz dodatno korišćenje boljih i jedinstvenih šifara za administraciju sajta. Mada moguće je i ukloniti ručno sve delove malvera koji kreira ove stranice jer se mogu naći razni vodiči za uklanjanje ovakvih kompromitacija.
Relevantne verzije na sajtu, sve je prilično ažurno osim Avada teme koja je baš stara i veoma je moguće da je tu neka poznata ranjivost iskorišćena za kompromitaciju...
Uobičajeno je da je sajt u potpunosti preuzet od strane malicioznih aktera, da redovni admin ne može da se uloguje na CMS admin, u ovom slučaju Wordpress. Moguće je i preuzimanje Google Search Console naloga radi dalje optimizacije kampanje.
Sajt na guglu izgleda ovako:
robots.txt je kompromitovan i vodi ka gomili velikih sitemap fajlova koji dalje guraju kompromitovane stranice sa sajta:
i jedan primer, svi maliciozni sitemap fajlovi su slični:
Obični korisnik vidi redovan izgled sajta i ne zna da je bilo šta čudno, ali ako pristupate sajtu sa User-Agentom gugl bota dobijete sledeće i to je ono što gugl indeksira :
Kako dolazi do ovakve kompromitacije i kako je rešiti?
Verovatno najčešći slučaj je usled neažuriranih i starih verzija Wordpressa, WP plugina i WP tema. Moguće je i preko loših i lako pogodivih šifara za wp-admin
Najbolje rešenje u ovom slučaju je kompletna reinstalacija WP-a ili povratak iz bekapa pre kompromitacije, kao i ažuriranje svega što ima poznate ranjivosti, uz dodatno korišćenje boljih i jedinstvenih šifara za administraciju sajta. Mada moguće je i ukloniti ručno sve delove malvera koji kreira ove stranice jer se mogu naći razni vodiči za uklanjanje ovakvih kompromitacija.
Relevantne verzije na sajtu, sve je prilično ažurno osim Avada teme koja je baš stara i veoma je moguće da je tu neka poznata ranjivost iskorišćena za kompromitaciju...
Code:
WordPress version 6.7.2
WordPress theme in use: Avada
| Version: 7.11.3 (80% confidence)
| Last Updated: 2025-01-30T01:01:28.000Z
| [!] The version is out of date, the latest version is 7.11.14