WordPress farmācijas reklāmu problēmas

Vakar ienāca ciemos daži sen neredzēti draugi, un man par lielu pārsteigumu atklāja, ka meklējot šajā blogā rakstu par Mokas krūzi, google rezultātos izlasījuši, ka šeit ir sazin kāds potences medikamentu lielveikals. Īsti nesapratu par ko ir runa, taču ātrs vaicājums meklētājam atklāja problēmu – Google zirneklim tiešām rādijās, ka mans saits ir pārpilns ar medikamentiem. Ļoti interesanti.

Starp citu joprojām problēmu var apskatīt šeit (kamēr google nebūs visu pārindeksējis). Pāris ātru meklējumu pa datubāzēm, un neko neatrodu. Interesanti kur rodas šie brīnumi? Pēc vaicājuma Twitter, ļoti izpalīdzīgais Mārtiņš iedeva saiti uz līdzīgas problēmas izklāstu kādā blogā. Tur ir dotas instrukcijas, ka WordPress plugins folderī ir jāmeklē noteikti faili, tie jādzēš, un tad arī datubāzē ar PHPmyadmin jāmeklē konkrēti ieraksti, un jaatbrīvojas arī no tiem. Taču man par nelaimi, nespēju atrast nevienu no norādītajiem failiem vai ierakstiem. Acīm redzot vīruss ir ticis modificēts. Lieki teikt, ka man gan Plugins, gan Tēma, gan pats WordPress ir jaunākās versijas, serveri neadministrēju nemākulīgais es, bet profesionāļi, un FTP paroli man neviens nozadzis nav.

Rokam tālāk. Spriežot pēc Google Cache ierakstiem, saits ir pārpilns ar ierakstiem, taču pašā datubāzē nekā nav, un pats lapā neko neredzu. Tātad datus redz tikai Google.

Atradu lielisku rīku, kas spēj weblapas atrādīt tā, kā tos redz HTTP aģents “googlebot”. Un tik tiešām ieraudzīju, ja tā nav cache problēma, bet tik tiešām kreisā informācija tiek pasniegta tikai meklētājiem Robotiem. Izdzēsu un atslēdzu visus pluginus, ar rokām pārlasīju lielāko daļu aizdomīgo failu wordpress folderī, bet nekā.

Šodien no rīta ienāca prātā pārbaudīt arī situs subdomēnus saita. Un redz kā – pēc pāris failu caurlasīšanas, uzdūros pavisam normāla paskata failam common.php kurš saturēja nevainīga paskata komentāru par saita indeksiem, un kaut kādu milzīgu blāķi Base64 kodējumā. Aizdomīgi! Papildus tam ieraudzīju, ka šis lieliskais fails tiek pieminēts saita galvenajā .htaccess failā un ka tas kaut ko pārraksta:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo) [OR]
RewriteCond %{HTTP_REFERER} (google|aol|yahoo)
RewriteCond %{REQUEST_URI} /$ [OR]
RewriteCond %{REQUEST_FILENAME} (shtml|html|htm|php)$ [NC]
RewriteCond %{REQUEST_FILENAME} !common.php
RewriteCond /common.php -f
RewriteRule ^.*$ /common.php [L]

Viss skaidrs, dzēšam visu šito ārā. Par jaunu pārliekam vajadzīgos spraudņus, uz Worpress uzliekam spraudņus “Secure WordPress” un “WP-Malwatch” un izveidojam jaunu administratora lietotāju ar citu paroli, dzēšam veco, un pie iespējas mainam arī FTP paroles. Kā tieši šis inficē blogus nevienam joprojām nav skaidrs, visi tikai atsaucas uz “apparently” viņš tiekot iekšā caur caurumainiem pluginiem, bieži – akismet. Nekā konkrēta.

Pēc tam kad saits iztīrīts, un viss ir vietās, kā arī kad REX SWAIN’S HTTP skatīklis vairs ar “googlebot” acīm neredz farmācijas, jātiek galā ar Google cache. To var izdarīt ieejot Google Webmaster Toolbox, tur izvēlamies “Fetch as Googlebot”, norādam saita galveno URL, kad viņš ir pabeidzis, izvēlamies “Submit to index, recursively” un ceram, ka viņš visu pārindeksēs un atjaunos Cache.

Ceru šis ātrais pārskats noderēs. Ja tev ir šī problēma, un tu neko no rakstītā nesaproti, steidzami sameklē kādu kas saprot, jo šis vīruss ir visai pretīgs, un to izravēt iesācējam nebūs viegli. Tas “common.php” fails varot saukties jebkādi, un atrasties jebkur.