Raar zoekresultaat in Google - WordPress hacked?

Maglor · 14 maa 2009, 09:09

Vandaag was ik in Google Analytics aan het checken hoeveel mensen er de laatste tijd naar onze blog zijn komen kijken.

In het overzichtje van de gebruikte zoektermen om op de site te belanden zag ik plots deze opduiken: 'kiekeboe porn'. Nu, 'kiekeboe' is een woord dat af en toe wel voorkomt op de site, zover dus geen probleem. Echter, bij mijn weten komt 'porn' nergens voor. Ik heb dus eens zelf getest in google en ja hoor. Mijn blog komt er als zesde uit. Groot was mijn verbazing toen in de beschrijving op de 'Google' pagina het volgende voorkwam: "sexy thems of nokia 6600NPF2004 activation crackpedo boy pornwebshots crack passwordyeast free bread ...".

Ga ik echter zelf kijken naar de pagina (zowel die in cache, als de live) dan kom ik deze tekst nergens tegen (ook niet in de source).

EDIT: ik heb hetzelfde voor met de zoekterm 'kiekeboe torrent' (pagina 2 bovenaan)

Iemand een idee wat hier aan de hand is? 'k Vermoed (hoop) niet dat mijn site gehacked is, want ik zie niets op de pagina zelf.

EDIT2: Ik zit nog met een 2.6.5 installatie (sommige plugins zijn nog niet aangepast voor de 2.7.1). De 'Exploit Scanner' plugin heb ik ook al laten lopen en die heeft toch op het eerste zicht niets afwijkend gevonden.

nogChoco · 14 maa 2009, 12:23

Als ik zie hoezeer Gmail misbruikt wordt door spammers, dan zou het me niet verbazen indien hun searchengine ook zo lek is als een zeef.

Maglor · 14 maa 2009, 13:58

Ondertussen voor alle zekerheid toch al maar geüpgraded naar 2.7.1. De plug-ins lijken het te houden.

gr4vity · 15 maa 2009, 01:19

Dat is inderdaad een bug geweest in wordpress. De "zoek-termen" staan nog steeds in je database. Ik meen in het veld waar de commentaren staan. Als je je pagina in "browser-source" bekijkt (CTRL + U) dan zal je zien dat die woorden effectief in de HTML staan.

Edit: blijkbaar niet. Maar ik heb ooit de mysql db van een wordpress moeten uitmesten door een soortgelijke bug en toen stond het wel in de HTML

Maglor · 15 maa 2009, 14:35

De database nagekeken en die gebruikte zoektermen staan er inderdaad in, maar voor de rest niks. De paranoia in mij heeft de bovenhand gehaald: alle paswoorden vervangen (en verstevigd), alle chmods nagekeken, .htaccess files gecheckt, database prefixes aangepast and what not...

Ik denk niet dat mijn site gehackt is geweest, anders zou je er toch wel iéts van merken in de back-end of in de source code van de pagina's? Het is echt enkel in de zoekresultaten in Google (dus niet in Yahoo of Windows Live) dat dat zinnetje opduikt. Very weird.

gm123 · 15 maa 2009, 15:40

Misschien een exploit in de blog software waardoor bots zo'n dingen kunnen injecteren in de database?

cloink · 15 maa 2009, 16:30

Rest de belangrijkste vraag: wie Google'd er nu naar "kiekeboe porn" ?

gr4vity · 15 maa 2009, 17:54

Het probleem is inderdaad dat het 'sql-injected' word door een script. Wie even zoekt vind zelfs proof of concepts. Het zou moeten opgelost zijn vanaf versie 2.2.3, iedereen die daar onder zit kan best updaten

cloink schreef:Rest de belangrijkste vraag: wie Google'd er nu naar "kiekeboe porn" ?

Zeer goede vraag cloink...

Maglor · 15 maa 2009, 18:59

Van SQL injection heb ik geen kaas gegeten, maar moest dit bij mij gebeurd zijn, zou ik daarvan toch iets moeten terugvinden in de database? Of niet?

15 maa 2009, 21:35

Natuurlijk. Die dingen verdwijnen niet zomaar opnieuw.

Maglor · 16 maa 2009, 11:07

Ok, dus zoals reeds gezegd: in de dump van de database vind ik niets dat ook maar in de verste verte verwijst naar de tekst "sexy thems of nokia 6600NPF2004 activation crackpedo boy pornwebshots...". In de HMTL source van de pagina ook niet.

Heeft er iemand dan überhaupt een idee van hoe het komt dat in Google die tekst verschijnt bij de beschrijving van die pagina?

EDIT: blijkbaar gisteren niet goed gekeken. In de Google cache (en enkel daar) van de pagina in kwestie (en bij nader inzien van élke pagina die ik opzoek van mijn site) staat er bovenaan een resem links naar malafide sites. Toch nog even die SQL dump nakijken...

Maglor · 16 maa 2009, 15:47

Kleine update: ik denk dat het dus toch een hack is geweest. Hier heb ik een gelijkaardige beschrijving van wat met mij gebeurd is: http://www.seobook.com/wordpress-blog-hacking-checklist (Google IP Address Targeted Hacking + Cloaked Spam).

Vanavond de DB eens checken... (ben benieuwd).

gr4vity · 17 maa 2009, 04:23

Het zit effectief in de database. Ik heb het er toen toch manueel moeten uithalen.

Maglor · 17 maa 2009, 10:09

Dan zal het toch goed verstopt zitten. Ik heb namelijk niets gevonden. :s

Maglor · 18 maa 2009, 09:39

Laatste update: zoals gezegd was de database gelukkig niet geïnfecteerd. Ik heb wel in een hele rist folders verdachte .php en .htaccess bestanden tegengekomen, waarin een heleboel code stak die via base64 gecodeerd was. Na het decoderen hiervan stootte ik op 'leuke' code die er dus blijkbaar voor zorgde dat die spamlinks verschenen in de cache van Google. De bestanden vielen in eerste instantie niet op omdat ze klassieke namen hadden, à la 'comments.php', 'config.php',...

Ik ben een tijdje zoet geweest met het checken van elke folder en het verwijderen van die files. Ze waren gelukkig makkelijk herkenbaar omdat ze allemaal aangemaakt waren op dezelfde dag. Ik vermoed dat ze 'binnengeraakt' zijn door een oudere plug-in (Subscribe Me plugin van Semiologic, FYI) die niet 100% aangepast was aan mijn huidige WordPress installatie. Die plug-in heb ik er uiteraard afgesmeten.

Nu maar afwachten wat er gebeurt wanneer Google de pagina's terug cachet.