Userbase

Vandaag was ik in Google Analytics aan het checken hoeveel mensen er de laatste tijd naar onze blog zijn komen kijken.

In het overzichtje van de gebruikte zoektermen om op de site te belanden zag ik plots deze opduiken: 'kiekeboe porn'. Nu, 'kiekeboe' is een woord dat af en toe wel voorkomt op de site, zover dus geen probleem. Echter, bij mijn weten komt 'porn' nergens voor. Ik heb dus eens zelf getest in google en ja hoor. Mijn blog komt er als zesde uit. Groot was mijn verbazing toen in de beschrijving op de 'Google' pagina het volgende voorkwam: "sexy thems of nokia 6600NPF2004 activation crackpedo boy pornwebshots crack passwordyeast free bread ...".

Ga ik echter zelf kijken naar de pagina (zowel die in cache, als de live) dan kom ik deze tekst nergens tegen (ook niet in de source).

EDIT: ik heb hetzelfde voor met de zoekterm 'kiekeboe torrent' (pagina 2 bovenaan)

Iemand een idee wat hier aan de hand is? 'k Vermoed (hoop) niet dat mijn site gehacked is, want ik zie niets op de pagina zelf.

EDIT2: Ik zit nog met een 2.6.5 installatie (sommige plugins zijn nog niet aangepast voor de 2.7.1). De 'Exploit Scanner' plugin heb ik ook al laten lopen en die heeft toch op het eerste zicht niets afwijkend gevonden.

Als ik zie hoezeer Gmail misbruikt wordt door spammers, dan zou het me niet verbazen indien hun searchengine ook zo lek is als een zeef.

Ondertussen voor alle zekerheid toch al maar geüpgraded naar 2.7.1. De plug-ins lijken het te houden.

Dat is inderdaad een bug geweest in wordpress. De "zoek-termen" staan nog steeds in je database. Ik meen in het veld waar de commentaren staan. Als je je pagina in "browser-source" bekijkt (CTRL + U) dan zal je zien dat die woorden effectief in de HTML staan.

Edit: blijkbaar niet. Maar ik heb ooit de mysql db van een wordpress moeten uitmesten door een soortgelijke bug en toen stond het wel in de HTML

De database nagekeken en die gebruikte zoektermen staan er inderdaad in, maar voor de rest niks. De paranoia in mij heeft de bovenhand gehaald: alle paswoorden vervangen (en verstevigd), alle chmods nagekeken, .htaccess files gecheckt, database prefixes aangepast and what not...

Ik denk niet dat mijn site gehackt is geweest, anders zou je er toch wel iéts van merken in de back-end of in de source code van de pagina's? Het is echt enkel in de zoekresultaten in Google (dus niet in Yahoo of Windows Live) dat dat zinnetje opduikt. Very weird.

Misschien een exploit in de blog software waardoor bots zo'n dingen kunnen injecteren in de database?

Rest de belangrijkste vraag: wie Google'd er nu naar "kiekeboe porn" ?

Het probleem is inderdaad dat het 'sql-injected' word door een script. Wie even zoekt vind zelfs proof of concepts. Het zou moeten opgelost zijn vanaf versie 2.2.3, iedereen die daar onder zit kan best updaten

cloink schreef:Rest de belangrijkste vraag: wie Google'd er nu naar "kiekeboe porn" ?

Zeer goede vraag cloink...

Van SQL injection heb ik geen kaas gegeten, maar moest dit bij mij gebeurd zijn, zou ik daarvan toch iets moeten terugvinden in de database? Of niet?

Natuurlijk. Die dingen verdwijnen niet zomaar opnieuw.

Ok, dus zoals reeds gezegd: in de dump van de database vind ik niets dat ook maar in de verste verte verwijst naar de tekst "sexy thems of nokia 6600NPF2004 activation crackpedo boy pornwebshots...". In de HMTL source van de pagina ook niet.

Heeft er iemand dan überhaupt een idee van hoe het komt dat in Google die tekst verschijnt bij de beschrijving van die pagina?

EDIT: blijkbaar gisteren niet goed gekeken. In de Google cache (en enkel daar) van de pagina in kwestie (en bij nader inzien van élke pagina die ik opzoek van mijn site) staat er bovenaan een resem links naar malafide sites. Toch nog even die SQL dump nakijken...

Kleine update: ik denk dat het dus toch een hack is geweest. Hier heb ik een gelijkaardige beschrijving van wat met mij gebeurd is: http://www.seobook.com/wordpress-blog-hacking-checklist (Google IP Address Targeted Hacking + Cloaked Spam).

Vanavond de DB eens checken... (ben benieuwd).

Het zit effectief in de database. Ik heb het er toen toch manueel moeten uithalen.

Dan zal het toch goed verstopt zitten. Ik heb namelijk niets gevonden. :s

Laatste update: zoals gezegd was de database gelukkig niet geïnfecteerd. Ik heb wel in een hele rist folders verdachte .php en .htaccess bestanden tegengekomen, waarin een heleboel code stak die via base64 gecodeerd was. Na het decoderen hiervan stootte ik op 'leuke' code die er dus blijkbaar voor zorgde dat die spamlinks verschenen in de cache van Google. De bestanden vielen in eerste instantie niet op omdat ze klassieke namen hadden, à la 'comments.php', 'config.php',...

Ik ben een tijdje zoet geweest met het checken van elke folder en het verwijderen van die files. Ze waren gelukkig makkelijk herkenbaar omdat ze allemaal aangemaakt waren op dezelfde dag. Ik vermoed dat ze 'binnengeraakt' zijn door een oudere plug-in (Subscribe Me plugin van Semiologic, FYI) die niet 100% aangepast was aan mijn huidige WordPress installatie. Die plug-in heb ik er uiteraard afgesmeten.

Nu maar afwachten wat er gebeurt wanneer Google de pagina's terug cachet.