Länkar din WP-sajt till viagra-försäljning?

Väldigt många WordPress-installationer har blivit hackade och länkar idag, utan att ägarna vet om det, till Viagra-försäljning och framför allt till andra sajter som har blivit hackade och som i sin tur fungerar som Viagra-återförsäljare. Hacket är relativt elegant utformat och har på sistone utvecklats vidare för att bli allt svårare för sajtägarna att upptäcka, samtidigt som det gör alltmer nytta för de svarthattar som tjänar pengar på det.

Vill du se om din sajt är drabbad? Sök då på Google efter
site:dindomän.se viagra|cialis|levitra
Byt ut dindomän.se mot din egen domän. Om du inte får några resultat kan du istället gotta dig åt alla andra som har drabbats av hacket genom att istället googla på
site:.se online viagra|cialis|levitra wordpress
När man hittar en välkänd sajt, som unt.se, egenblogg.se, uplandsnation.se eller varför inte mpbloggar.se kan man göra sökningen mer specifik och bara titta på den domänen. Här en sökning på mpbloggar.se, en av de drabbade sajterna:
site:mpbloggar.se viagra|cialis|levitra

 

Viagr/Cialis-spamet finns på hela mpbloggar-nätverket.

Effekten av sökningen ovan är slående för hur det här hacket fungerar. Den som går direkt in på någon av de drabbade bloggarna märker ingenting alls. Bloggarna på mpbloggar.se ser ut som vanligt, utan några som helst tecken på att det finns några länkar på den. Den som går direkt in på t.ex. riksdagsgrupp.mpbloggar.se märker alltså ingenting eftersom sajten ser ut, och fungerar precis som vanligt:

riksdagsgrupp.mpbloggar.se utan Viagra-spam

Om man däremot tittar på hur Google ser sidorna på sajten, genom att titta på Googles cachade version av en sida, så ser sajten helt annorlunda ut. Namnet på bloggen har ändrats, liksom alla kategorilänkar:

riksdagsgrupp.mpbloggar.se som Google ser sajten

Skulle däremot, någon sida från en hackad sajt (och det finns otroligt många fler än bara mpbloggar.se, den här sökningen hittar skrämmande många), så skickas besökaren direkt till North American Pharmacy, men fortfarande under den ursprungliga domänen. Så här ser det ut:

Så här ser sajten ut om man kommer från en Google-sökning som innehåller något av läkemedelsnamnen

Dessutom (tack @anderseriksson ) visar det sig att AVG hindrar användare från att gå in på sidor från mpbloggar.se som är drabbade av det här hacket.

Så vad har hänt?

Så vad har hänt här då? Det vet jag faktiskt inte ännu eftersom jag inte har haft möjlighet att titta på just den här sajten. Men högst troligen har sajten hackats genom en svaghet i något plugin eller funktion som används i sajtens tema. Det är inte helt otroligt att det är timthumb som är den ursprungliga svagheten här. Men det behöver inte vara så.

Jag har alltså ännu inte kommit åt att se hur exakt den här  versionen av hacket fungerar, men jag fick för några veckor sedan möjlighet att studera en tidigare version av hacket. Då lades länkar till innan innehållet på sidan, och igår såg jag ännu en variant, som inte hade ändrat kategorinamn och blogg-title, utan bara hade lagt till länkar i bloggfoten.

Den gången hade hacket gått in och modifierat en rad i filen /wp-includes/general-template.php och sagt åt WP-installationen att ladda in en fil med det oskyldiga och mycket troliga namnet wp-image.php som skulle ligga i samma katalog. Den filen är, i sin tur, base64-kodad, och är den som kollar huruvida det är en vanlig besökare eller Google som kommer på besök och därefter förändrar innehållet på sajten.

En extra rad i filen /wp-includes/general-template.php

Den gången åtgärdade jag problemet helt enkelt genom att kommentera bort den raden där wp-image.php laddades in, och sedan ordnade det hela upp sig själv på en vecka.

Förhoppningsvis kommer det vara lika lätt för Miljöpartiet att åtgärda detta. Jag skulle dels leta efter filer som har modifierats vid någon udda tidpunkt, desl leta efter om något plugin, eller själva temat använder en gammal version av timthumb.php, som tyvärr, i de allra flesta fall verkar vara upphovet till hela den här hackvågen.

Just på sajten ovan fanns ett plugin som inte ens användes, som heter IGIT Related Post With Thumb och som inkluderade en gammal opatchad version av timthumb.php, som nästan alltid verkar vara upphovet till det onda.

Så hur städar man bort Timthumb-hack från sajten?

Tyvärr räcker det oftast inte med att bara ta bort de pluggar som använder timthumb.php eftersom de som utnyttjar svagheten, mycket väl kan ha lagt upp liknande funktionalitet, under andra namn, på helt andra ställen på sajten. Den som vill säkra upp ordentligt bör därför se till att ta bort alla plugins som inte anvvänds, manuellt byta ut alla filer och kataloger i sin wp-content, och sedan byta ut hela WP-installationen separat.

Om du vill förstå mer om hur timthumb.php kan ha åstadkommit så mycket skada så ger den här bloggposten en ganska bra beskrivning.

Men du kan skydda dig!

Om du vill scanna av dina bloggar efter förekomster av timthumb.php rekommenderar jag att du installerar ett plugin som heter Timthumb Vulnerability Scanner och som letar igenom din sajt efter just denna svaghet, även i filer som kan ha helt andra namn. Jag själv hittade, i gamla versioner av Thesis (som nu är bortplockade från sajten) och i temat Artemia som jag mig veterligen aldrig har använt på någon sajt, timthumb-funktionalitet som ligger i filer med helt andra namn.

Med blygselns rodnad på kinderna och i transparensens namn… Här låg de:

Thesis och Artemia inkluderar Timthumb-kod

Jag har under natten mot söndag och söndagsförmiddagen försökt nå någon på Miljöpartiet, men utan resultat. Det är ju inte så vansinnigt svårt att bli av med detta. Jag hjälper gärna till, men vill framförallt ge Miljöpartiet och andra som använder WordPress rådet att börja scanna av sina WP-installationer bättre och hänga med i säkerhetsnyheterna kring WordPress.

För trots detta, är WordPress fortfarande min favoritplattform. Det krävs dock, liksom med alla andra CMS, att man håller koll på sin sajt, och håller den uppdaterad. Ett extra gott råd i sammahanget är att ta bort teman och plugins som inte används.

Jag har alltså hittat timthumb.php i två teman och en plugin nu på förmiddagen. Om du hittar svagheten i andra pluggar och teman, tipsa gärna andra i kommentarsfunktionen här nedan.

Uppdatering: Jag har under måndagen haft kontakt med Johan Schiff på Miljöpartiet som har följt instruktionerna i den här bloggposten och framför allt i Björn Alsborgers kommentar, och nu verkar ha rensat ut i WordPress-installationen på mpbloggar.se. Nu gäller det bara att Google snabbt re-indexerar sidorna. 

Se även:
WordPress-sajter hackade med TimThumb
How to protect your WordPress site as hackers exploit TimThumb security hole
You shouldn’t run too many plugins, and here’s why

  • Pingback: Visar din sajt viagrareklam?

  • http://www.anderseriksson.se Anders Eriksson

    Installerade plugin och hittade i temat Bueno.

  • http://sebastianhallenius.se Sebastian Hallenius

    WP-Creativix minns jag sen innan att det har timthumb.php. Personligen försöker jag alltid köra på så få plugins som möjligt och designa genom childthemes till TwentyEleven.

  • emma

    Å jag som  använder arthemia på min site… *suck* Fattar jag dig rätt att den där pluggen fixar till problemen, eller måste jag jaga nytt tema och kasta det jag har nu?

    • emma

      okej, jag körde pluggen och den hittade och fixade scriptet, så stort tack för tips, Nikke! Sen har jag ingen aning om jag är drabbad av det där viagra-tjofixet, vet inte hur jag tittar på cache osv… *rodnar lite*

      • http://www.lindqvist.com/ Nikke Lindqvist

        Du verkar vara safe Emma. Cachen hittar du genom att klicka på den lilla fliken som även visar Googles skärmdump av sidan.

        • emma

          Ah, kanon, tack!

  • http://twitter.com/stenpoppase Jonas Hallgren

    Jag hittade liknande saker på en av mina domäner, med en massa länkar undangömda långt ut i högermarginalen. Google hittade tre sådana sidor på den domänen, två med viagralänkar, men på den tredje var den enda länken en enkel textlänk till google.com.

    Har inte ännu listat ut hur de har kommit dit.

  • Pingback: Christians digest for October 17th | Christians lifestream

  • Pingback: Miljöpartiets WordPress hackad, sprider spam | MKSE.com - All about CMS

  • Björn Alsborger

    Jag har råkat ut för det här själv och även hjälpt ett antal att bli av med det. Det är väldigt vanligt att man missar någon infekterad fil när man rensar bort det och det är väldigt ofta fler än en fil som innehåller bakdörrar så dom enkelt kan komma tillbaks och lägga in nytt spam, så jag tänkte tipsa om ett par sätt att försäkra sig om att verkligen få bort allt.

    1. Rensa allt du hittar manuellt enligt Nikkes tips.

    2. Dubbelkolla alla fil/katalog-rättigheter: http://codex.wordpress.org/Hardening_WordPress

    3. Om du har tillgång till SSH så installera Linux Malware Detect ( http://www.rfxn.com/projects/linux-malware-detect/ ) och Rootkit Hunter ( http://www.rootkit.nl/projects/rootkit_hunter.html ). Dessa verktyg hjälper dig att hitta i stortsett alla bakdörrar / malware som brukar installeras.

    4 Installera pluginet WordPress Firewall 2 ( http://wordpress.org/extend/plugins/wordpress-firewall-2/ ) som blockerar många kända exploits.

    5. Installera pluginet File Monitor Plus ( http://wordpress.org/extend/plugins/wordpress-file-monitor-plus/ ) som håller koll på alla filer i din wordpress-installation och skickar ut ett mail om/när en fil ändras. Så om du inte har installerat ett nytt plugin eller gjort någon uppdatering och får ett mail om att det har kommit nya filer / ändrats i några befintliga, så är det dags att kolla att börja på punkt 1 igen.

    Om man administrerar många wordpress-installationer så kan jag rekommendera http://managewp.com/ där man enkelt kan t.ex uppdatera plugins över samtliga siter med ett klick, göra backuper/osv. Det kommer även snart finnas rätt bra säkerhetsfunktioner (liknande File Monitor Plus).

    • http://www.lindqvist.com/ Nikke Lindqvist

      Stort tack! Grymma tips!

      • Björn Alsborger

        Lungt, om det är någon som har problem med att blir av med skiten, hojta till på twitter (@ikbty) så hjälper jag till, har rensat ett 20-tal siter så jag börjar få viss rutin nu.

        En sak jag glömde skriva ovan är att jag har även sett på ett antal siter att dom har ändrat i blogrollen, och då inte lagt till nya siter utan bara ändrat URLen på de som man har tidigare, så en länk till t.ex lindqvist.com pekar till viagraspam.com fast med den gamla länktexten så man inte ser det så lätt. Riktigt störigt.

        • http://www.lindqvist.com/ Nikke Lindqvist

          Som jag just sa till CS, de börjar bli alltmer raffinerade. =

    • http://gfd.nu Jonas

      Bra tips Björn, tack ska du ha!

    • http://sixx.se/ Fredrik Stenbeck

      Vilken lista. Toppen! Jag blev utsatt (tack igen för att du uppmärksammade mig Nikke) och har nu garderat mig med dina tips. Tack.

  • Fredrik Hed

    tack nikke, ska hålla föredrag 9 nov på Läkemedelskongressen om förfalskade läkemedel och olagliga nätapotek, kommer troligen visa upp detta exempel där

    • http://www.lindqvist.com/ Nikke Lindqvist

      Cool! Nu tror jag inte att North American Pharmacy säljer de fulaste varianterna av förfalskade läkemedel, men jag kan ju ha fel. Dock är det helt säkert att om inte de och Canadian Pharmacy hade affiliate-program så skulle den här typen av viagra-spam förekomma.

    • Helena

      Har suttit och rotat eftersom min blogg blivit genomhackad. Och snart sagt varenda sida är fastkletad med viagrareklam.
      Hittade en sajt igår som uppenbarligen länkat till mig för länge sedan.Och som säljer både det ena och det andra. Inte bara viagra utan andra mediciner som är receptbelagda här hemma. Det här är ju väldigt anmärkningsvärt och borde verkligen larmas om;  att mediciner som ska hanteras varsamt – kan beställas på nätet bara med ett klick.Jag försökte skicka ett mail för att säga att jag vill slippa deras hack, men det togs inte emot.Det hänvisades till en chatt; men den gick jag inte in på. Det här måste ju absolut larmas om ; det är ju inte direkt leksaksmediciner som säljs på den sajten. https://europharmacy.name/Det här måste ju Socialstyrelsen stoppa.Här säljs både cancermediciner, p-piller, antipsykosmediciner, antidepressivmediciner, sömnmediciner…Mängder med mediciner som kan vara farliga att använda utan överinseende av läkare.Det måste ju absolut stoppas.Folk kan ju hamna i mycket allvarliga tillstånd om de börjar ta den här typen av mediciner utan att det sker i samråd med läkare. 

    • Helena

      Ja, jag vet inte vilket som är mest illa. Om det är riktiga läkemedel; eller om det är fuskläkemedel. Det är ju väl så illa om någon tror sig ha köpt riktiga läkemedel – litar på dem – och det bara är fusk.
      Uschiamej. Vilka j…a gangster.

  • http://stefanjson.se Stefan Johansson

    thumb.php finns även i temat rt_grunge_wp.
    timthumb.php finns i tema Adcents och Revista.

    • http://stefanjson.se Stefan Johansson

      timthumb finns även i tema Sohobox, rt_novus_wp samt i Headway om du inte har den senaste versionen.

  • Pingback: Jag har just släppt en bloggpost om svarthatts-SEO i sin fulaste skepnad | Nikkelin

  • Fredrik Forséll

    Rensade en av mina WP-siter som fått in skiten via temat Suffusion (som jag inte hade uppdaterat, ouch). Glöm inte att kolla ALLA filer, inklusive .htaccess. Det lades till bakdörrar efter några tusen tomma rader, och andra bakdörrar lades i diverse WP-filer. Ett sätt att hitta vilka filer som modifierats är att kolla senaste ändringsdatum via ftp eller ssh. Räkna med att alla lösenord är röjda, inklusive databaslösenordet som ju står i wp-config.php.

    • http://www.lindqvist.com/ Nikke Lindqvist

      Ouch! Jag lider med dig.
      När var din sajt ändrad?
      Artade det sig, i övrigt, på samma sätt som på mpbloggar.se?

  • Pingback: Onlinemarknadsförare

  • Ms L

    Kom in på din sida när jag kollade runt över hackade sidor…. du vet möjligen inte vad som hänt med bloggagratis.nu?. Man blir numera länkad till ”stora ordlistan”. Det har varit såhär i flera dagar. Jag har min blogg kopplad till denna sida. Har den blivit hackad eller kan det vara så att man har lagt ner sidan utan att meddela ”bloggägarna”???

    • http://www.lindqvist.com/ Nikke Lindqvist

      Bloggagratis.nu blev bloggplatsen.se – bloggagratis.se pekar fortfarande rätt.

      • Ms L

        jag provade den sidan nu. men bloggagratis.nu och bloggagratis.se/ bloggplatsen.se är inte genom samma, för den kunde inte hitta min blogg där…

  • Pingback: Nätbedragare… | viita.se

  • Pingback: Skönt är skönt är skönt | Motviktigt

  • Pingback: Jag har just släppt en bloggpost om svarthatts-SEO i sin fulaste skepnad | Nikkelin

  • Pingback: Onlinemarknadsförare i Stockholm - Werner Töniste

  • Pingback: Viagra-spammarna fortsätter bryta sig in

  • Pingback: Tips: Så säkrar du din Wordpress-sajt « Jajja Magazine

  • Pingback: Runnit mycket vatten under broarna… | Viita.se

  • Pingback: Saker som blinkar och piper » Allmänna incheckningsdagen

  • Pingback: Så säkrar du din Wordpress-sajt | Jajja Communications

  • Jakob

    Hmmm är detta fortfarande ett vanligt problem? Finns det fler vanliga hack man kan bli utsatt för när man kör wp? Vilka är de bästa plugin’en för att skydda sig emot detta?

    • http://www.lindqvist.com/ Nikke Lindqvist

      Ja tyvärr. Jag hör varje månad talas om sajter som drabbats (även om de allra flesta, lite skämmigt sådär) undviker att berätta om att de blivit drabbade.
      De bästa pluginnen är att hålla sina plugins uppdaterade, att inte installera tveksamma pluggar, och så det plugin som nämns i kommentarerna. Som Timbthumb scanner och liknande. Alltså pluggar som funkar som antivirusprogram ungefär och letar efter tveksam kod på din sajt.

  • Pingback: Städa upp hackad wordpress | iknowbetterthanyou.com