Segurança de Joomla – Campanha de Spam de Pornografia (Sucuri)

Segurança de Joomla – Campanha de Spam de Pornografia

Uma das piores experiências para um proprietário de um site é descobrir que os resultados da pesquisa do seu site se transformaram em uma farmácia, um outlet, ou mesmo um canal pornô.

Essas palavras-chave indesejadas são um resultado de ataques de Search Engine Poisoning (SEP). Essa técnica de SEO de blackhat é usada por atacantes para tirar proveito de seus rankings nas páginas de resultados do motor de busca – Search Engine Result Pages (SERPs)

Uma das táticas usadas pelos hackers para não serem pegos é esconder o conteúdo de spam de visitantes regulares. Ao permitir que somente os indexadores do motor de busca os veja, as palavras-chave de spam e links são indexadas para o ranking, mas não estão visíveis para os visitantes. Nós ainda encontramos spam escondidos em formas menos sofisticadas, isto é, divs escondidos, iframe negativamente localizados, etc. Claro, as empresas de segurança estão sempre tentando detectar e remover spam escondido – e geralmente somos bem sucedidos.

Spammers de SEO de Black Hat para Joomla!

Desta vez, vou lhe mostrar um ataque de blackhat SEO interessante que temos visto desde o ano passado. Recentemente, deparei-me com um site Joomla com o aviso de spam de SEO (blackhat) no SiteCheck. No entanto, neste caso, o cliente tinha notado os seguintes sintomas adicionais:

Os visitantes eram redirecionados se o site foi alcançado através de qualquer link de resultado do motor de busca. Em todos os outros casos (não vindos do SERPs), os redirecionamentos também ocorriam. Por causa disso, não havia qualquer condição perceptível provocando o redirecionamento.

Eu achei a infecção no arquivo core ./includes/application.php do Joomla. Foi fácil detectar a infecção, já que os arquivos core do Joomla não deveria ter strings codificados.

É interessante para o atacante infectar um arquivo core como application.php porque quando o Joomla cria um objeto de aplicação (em cada carga), acaba carregando a classe JSite a partir do arquivo includes/application.php. Essa classe estende-se à classe JApplication. Uma classe JAdministrator similar no administrator/includes/application.php é usada quando o Joomla cria um objeto de aplicação do backend.

Após a desofuscação, encontramos o seguinte código malicioso:

Assim, o conteúdo acima será injetado e o site irá redirecionar o visitante arbitrariamente para um site pornô: javrip[.]net.

Mais e Mais Redirecionamentos Pornô

Com infecções de malware, não há tantos lugares para se esconder – é apenas uma questão de tempo até se encontrar o culpado. Desta vez não foi diferente. Encontrei mais arquivos envolvidos com essa infecção no diretório do template ./templates/rt_versatility4_j15/index.php:

Segue a lista de sites de blackhat envolvidos na infecção de redirecionamento até o momento:

  • javrip[.]net
  • gay-file[.]com;
  • dmmjav[.]com;
  • filesmonster[.]porn
  • Análise dos Sites de Blackhat

Vamos analisar o primeiro site de blackhat que mencionamos – javrip[.]net.

A campanha de malware redireciona os usuários de sites infectados para o site de blackhat para fazer parecer que o site está com mais visualizações de páginas do que realmente ocorre. Os sites de blackhat não aparecem na lista negra porque não contêm códigos perigosos ou maliciosos. Eles estão apenas recebendo o tráfego proveniente de sites “infectados” para trazer mais visualizações de páginas e mais visitantes, o que aumenta suas posições no ranking, manipulando o algoritmo do Google.

Aumento de Tráfego a Partir de Redirecionamentos de Spam

Seguem mais informações sobre o site:

De acordo com o Alexa Rankings, essa página é popular no Japão e também tem 239 visualizações de páginas diárias (1,30 por visitante), a maioria proveniente do próprio Japão, seguido por Taiwan e Peru. Ele também está sendo hospedado na Letónia (um país no Mar Báltico entre a Lituânia e a Estónia).

Desde janeiro de 2016, temos visto um aumento no tráfego em direção ao javrip[.]net, um impacto da campanha de spam que redireciona os usuários para esse domínio.

O Responsável pela Vulnerabilidade no Joomla!

De acordo com a nossa pesquisa, a maioria dos sites hackeados estão executando o Joomla 1.5.26. Essa versão tem diversos problemas de segurança, especialmente no TinyMCE editor.

Se você estiver usando Joomla!, verifique se o seu site está atualizado. Algumas vulnerabilidades de alta gravidade foram identificadas nos últimos anos, especialmente para aqueles que ainda estão executando a versão 1.5.x., que já está muito ultrapassada. Mesmo sendo o mais aconselhado, também entendemos que você não pode sempre atualizar. É aí que WAFs na nuvem são essenciais, pois protegem seu site de vulnerabilidades fazendo patching virtual, com os seguintes:

  • CVE-2015-8562
  • Vulnerabilidade Crítica de Execução Remota de Código de Dia Zero no Joomla

Joomla 1.5.x, 2.x, e 3.x before 3.4.6 permitem que atacantes remotos realizem ataques do tipo injeção de objeto no PHP (PHP object-injection) e executem código PHP arbitrário por meio do HTTP user-agent header. Essa vulnerabilidade foi explorada pela primeira vez em dezembro de 2015, mas ataques ainda está acontecendo hoje.

Se você ainda não tiver atualizado seu site Joomla, provavelmente já está comprometido. Temos um novo guia sobre como limpar um site Joomla hackeado que você pode seguir. Se você não quer ter de lidar com isso sozinho, podemos ajudar com nossos serviços profissionais de resposta a incidentes.

>Ver artigo original.

Facebooktwittergoogle_plusredditpinterestlinkedinmail

Comentarios:

AlphaOmega Captcha Classica  –  Enter Security Code
     
 

*