Dentro de una red Hackeada de SEO y Backlinks

Compartir en: Share on FacebookTweet about this on TwitterShare on LinkedIn
RED DE SITIOS HACKEADAS

RED DE SITIOS HACKEADAS

Dentro de una red Hackeada para Blackhat SEO – Caso Real

El martes de la semana pasada, recibimos una notificación de Google que indica un sitio web cliente fue hackeado. Lo que no me di cuenta en ese momento era que esto era uno de los hacks de SEO más locas que he visto en mucho tiempo.
Este tipo de hacks son muy comunes en los interwebs, especialmente en los sitios de WordPress. Los hacks suelen jugar algo como esto:
Los atacantes analizará la web abierta para direcciones IP que contienen un cierto marco. En este caso que buscaban sitios de WordPress, sin embargo también encontré sitios Magento, sitios personalizados, y un puñado de otros marcos. Uno de los aspectos más impresionantes de esta hacks fue el hecho de haber encontrado múltiples marcos diferentes que acaba de ser hackeado, no sólo WordPress (o Joomla, etc).
A partir de ahí, los hackers a granel escanearon los lugares elegidos para los que tienen marcos obsoletas y plugins. A continuación, las operaciones de búsqueda cada sitio exploits conocidos y los utilizan para acceder al sistema. La mayoría de las veces estos son inyecciones SQL.
La red de enlace hackeado ve algo en la línea de lo siguiente:

analisis-de-una-red-hackeada-links

analisis-de-una-red-hackeada-links

Para ilustrar lo fácil se puede hacer esto, aquí es un paso a paso de YouTube video de un atacante obtener acceso a un sitio web de WordPress en unos 3 minutos. Derecho loco?
Una vez que obtienen el acceso, los atacantes a menudo tienen diferentes metas para lo que debe hacer con el sitio hackeado. A veces son una motivación política y que se presenten y de la página de destino para sus grupos de hacking. Otras veces ni siquiera se dará cuenta de que algo está mal, que están buscando expandir su red de bots para utilizar su servidor como un nodo en su sistema de ataque
En otras ocasiones, y en este caso son muy blackhat SEO buscan utilizar su sitio web como una fuente gigante de jugo de enlace para vender enlaces o para impulsar sus propios sitios afiliados. Una motivación secundaria para este hack podría haber sido para recoger números de tarjetas de crédito de los clientes potenciales, pero no tengo ninguna evidencia de ello.
Análisis de la corte
Para empezar, el atacante subido 14.000 archivos en el servidor, que pasó a ser un servidor de GoDaddy. 95% de esos archivos eran archivos HTML que contenían un “comercio electrónico como” semi-funcionando página.
La mayor parte del contenido fue en un idioma asiático que me propuse ser japonés a través de Google Translate:

 

google-translate

google-translate

Puedes ver aquí la página de otro sitio hackeado en esta misma red se está ejecutando Magento (con grandes problemas)

sitio-hackeado-magento

sitio-hackeado-magento

El atacante subido archivos HTML a las páginas interiores de los sitios hackeados. A menos que el webmaster estaba navegando alrededor de los directorios internos del servidor, que probablemente ni siquiera notará que están hackeadas.

hacked-site-magento2

hacked-site-magento2

Gracias a un cuidadoso Linux piratería, yo grepped la lista de archivos y les regex’d en una lista de nombres de archivo.

filename-export

filename-export

Una vez que tuve esa lista, he subido todos los archivos a un VPS desinfectados y aislada que podía jugar en. Ese servidor todavía está vivo, por el momento en:

Espejo del servidor hackeado: http://107.170.172.107

Esto me permitió navegar libremente a través de los archivos en el Internet sin riesgo de tener que preocuparse por la integridad del servidor.

A partir de ahí Cargué mi fiel viejo amigo Scrapebox 2.0 y usé el addon “enlace extractora.” La versión de 64 bits de esta herramienta en 2,0 quemado a través de esta lista en tan sólo unos segundos.

scrapebox-extraccion

scrapebox-extraccion

Cargué la lista del extractor enlace, recortado a raíz, quité duplicados y me quedé con una buena lista de 239 sitios web que nuestros sitios hackeados vinculados a.

harvested-URLs

harvested-URLs

En este punto, llegué a una realización: esto no era sólo mi sitio del cliente que fue hackeado, que era algo así como una red de enlace inteligente. Pensé por defecto que todos los sitios hackeados simplemente apuntaron a un sitio de dinero, pero deduje que mi sitio hackeado señaló a otros sitios hackeados, y esos sitios hackeados señaló incluso otros sitios hackeados.

Ver código fuente en cualquiera de las páginas HTML hackeados y verás todo tipo de enlaces salientes a todo tipo de diferentes sitios, con la misma huella exacta:

http://example.com/something/really-long-keyword.html
Por ejemplo, echar un vistazo ver en la fuente de vista de la zona contenido de este sitio:

interlinked

interlinked

Encontré cientos de otros sitios hackeados en esta “red” todos con 100 de o 1000 de los archivos HTML cargados en su servidor. Con cada servidor infectado exploré, encontré más y más sitios de dinero.

otros-sitios-hackeados

otros-sitios-hackeados

Hice un par de “controles puntuales” al azar en algunos de estos ámbitos, algunos de ellos han sido hackeado desde mediados de 2014, pero muchos de ellos fueron hackeados recientemente.

En un momento pensé que podría valer la pena un tiro largo para hacer un WHOIS y ver si puedo correlacionar cualquiera de los datos del registrante de vincular el propietario (no es que yo había fuera ellos ni nada), pero por supuesto, los sitios de dinero real eran todos WHOIS privado

Una de las cosas brillantes sobre esta “red de enlace” es que es a la vez interdependientes e independientes al mismo tiempo. Todos los sitios dependen unos de otros para ayudar a aumentar su cartera de enlace, pero al mismo tiempo, si uno de ellos lo hicieron un escaneo de malware y suprime los archivos, que no afecta a los otros sitios de la red.
Aquí está un ejemplo de lo que una de las URLs hackeados parecía. En la superficie, es un sitio web de comercio electrónico en pleno funcionamiento, pero en toda la actualidad es sólo una página HTML representado con todos los enlaces que apuntan al “sitio de dinero.” Cualquier intento de agregar un elemento a un carro etc simplemente le llevará al dinero sitio.

server-en-quarentena

server-en-quarentena

La mayoría de los sitios de dinero tenían más o menos la misma pila:

ZenCart
Nginix
Cloudflare
etc

sitio-real

sitio-real

Una vez más alrededor del 90% o menos de los sitios de dinero fuera de la lengua japonesa en anfitriones japoneses.

Al final, me identifiqué estos 6 dominios como los principales “sitios de dinero” y realmente los responsables de este ataque generalizado:

http://www.menfashion.top/ http://www.ladyshoeskan.com http://www.fashionboots.site http://www.rock-music.top/ http://www.gagatokei.top/ http://www.pen-kan.website/

(el infierno, hay no obtienen un enlace)

La mayoría de estos dominios tienen una autoridad de dominio muy baja con la excepción de unos pocos de ellos.

Errores básicos por parte del Hacker

Mientras yo estaba un poco impresionado que este atacante fue motivado lo suficiente como para entrar en todos estos sistemas, hicieron un montón de errores y una gran huella.

Estimado hackers – revisar su archivo robots.txt y la próxima vez elegir un directorio que Google es en realidad permitió a gatear.

Verificación próxima vez archivos robots.txt para que Google realmente puede rastrear el directorio de sus enlaces apuntan a.

sitios-hackeados

sitios-hackeados

Presentado en parte por: trackback correo no deseado

Así es, Trackbacks uno de los métodos más antiguos y más sucias para el spam rápido.

ahrefs

ahrefs

La motivación para este hack

Cuando los primeros encuentros de este incumplimiento, pensé con certeza la motivación fue phishing para obtener los números de tarjetas de crédito. A los pocos minutos descubrí cuántos otros sitios infectados que hay, y pensé que era una red de enlace para impulsar un sitio de dinero.

Después de pasar una hora o así analizar los sitios involucrados, ahora creo que esta red no es sólo una manera de impulsar el sitio atacantes dinero, pero también pueden estar usando esta “red” como una manera de vender enlaces.

Lo que realmente me perplejo al final es que estos sitios realmente no son tan grandes. Ellos no parecen estar recibiendo mucho tráfico, que no parecen ser la clasificación que así, una gran cantidad de sus vínculos no se muestran (quizás debido a robots.txt).

Informar a los otros sitios hackeados

Escucha, yo no soy el tipo de persona a interponerse en el camino de alguien haciendo SEO blackhat. Si ese es su juego, está bien. Tengo un problema, sin embargo con los sitios web de hacking especialmente los de propiedad de los propietarios de pequeñas empresas que tratan de ganarse la vida.

En este caso voy a hacer un intento de notificar a estos sitios que son hackeados a través de su correo electrónico público. Si responden Te trataré como una ventaja para nuestro negocio, o punto en la dirección correcta. Si lo hacen, no es todo lo que puedo hacer.

info: http://www.elite-strategies.com/inside-a-hacked-seo-backlink-network/