או במילים אחרות – מדוע כדאי להזהר מתבניות וורדפרס פיראטיות או בעצם, לא רק מתבניות אלא גם מפלאגינים, ובעצם גם מג'ומלה ו-PhpBB והתקנות פרוצות של Vbulletin  ובואו נודה על האמת – מכל דבר שיושב על השרתים שלנו שהוא מבוסס PHP. ובכלל לא נראה לי שגיליתי למישהו את אמריקה עם האמירה הזאת – רבים מכם בטח זוכרים את "הפרשה" שהייתה לא מזמן עם התבניות של מאסטרגייט , כאשר מי שהיה לו קצת נסיון בעולם ההפצה והשימוש בתבניות חינמיות לא אמר הרבה על העניין יותר מאשר "בוקר טוב אליהו, יפה שגיליתם רק עכשיו"  (עבור מי שבא לו קצת לצלול לעומק הנושא הזה ולהבין באמת מה היה שם -  אני ממליץ בחום על המאמר המעולה של ניצן ברומר ובוריס בולטיאנסקי ב-DigitalWhisper)

כמה מכם כבר הבינו על מה אנחנו הולכים לדבר הפעם? (חוץ מסרגיי ו-Black Jack)

כל השאר – Stay Tuned כי הפעם זה באמת עבר כל גבול, ותאמינו לי שאתם רוצים לדעת את מה שאני הולך לכתוב עליו עכשיו, מה גם שהוא עדיין לא נפוץ יותר מידי.

רק תזכרו את את האמירה הזאת -  Once you go BLACK- You never Go Back,  ובבקשה מי שלא יכול להתמודד עם מידע "שחור" שיפרוש עכשיו.



מי שמכיר את עולם הקידום השחור, וגם מי שבכלל לא מקדם ורק מחזיק אתרים – בטח כבר חווה על בשרו יותר מפעם-פעמיים כל מיני חדירות מעצבנות להתקנות הוורדפרס \ מערכות ניהול תוכן אחרות שלו לצורך השתלת קישורים, Redirectים זדוניים, שליחת ספאם לא רצויה או יצירת Doorways עם דפי זבל כאלו ואחרים שלעולם לא הייתם חושבים לשים בעצמכם על השרתים שלכם (מי שצריך איזה דוגמא שיזכר בפוסט הזה)

ברוב רובם של המקרים בעיות אלו נוצרות בשל:

1) הגדרות בעייתיות של השרתים שלנו.
2) תוכנה לא עדכנית (ברמת אבטחת השרת או האתר שלנו).
3) 0Day Exploits למיניהם.
4) מתכנתים גאונים שמצליחים ביום אחד ליצור Blast של סקריפטים עם פרצה כזאת או אחרת שהם מצאו ולחדור למליוני אתרים.
5) מחשב שלנו שנגוע בוירוס או Rootkit שגונב את גישות ה FTP שלנו.
6) העובדה שהורדנו משהו נגוע בקוד זדוני ולא היינו מספיק עירניים לנקות – ובכך חשפנו לנו את האחסון.

בואו נתעכב רגע על סעיף 6 -  ונניח, רק נניח לרגע, שישנה מערכת, זמינה לרכישה במחיר שווה לכל נפש עבור כל זב חוטם או סקריפט קידי (כמוני לדוגמא) שמסוגלת בעזרת השתלה פשוטה של קוד זדוני והפצתו – לתת לכם שליטה מלאה על כל האתרים \ אחסונים \ IP הנגועים בצורה שתוכלו להכניס לתוכם כל קוד שרק יעלה בדעתכם או לחילופין להפנות אליכם כל נתח מהטראפיק שלו שרק תחפצו בו,  כל זאת כמובן ללא ידיעת בעל האתר וכאשר השליטה נעשית דרך ממשק גרפי נוח וידידותי שאפילו ילד בן 3 יוכל להפעיל?  נשמע כיף? בטח שכיף.

ומכוון שכפי שאתם מכירים אותי לא בהנחות עסקינן – אז עכשיו יש גם יש.  ולא שקודם לא היה – אבל זה לפחות נשמר בצורה מחתרתית יותר או בעזרת תפעול מסובך יותר שכן כלים כאלו בידיים הלא נכונות, יכולים בהחלט לחולל לא מעט צרות.

אז בקיצור השם הלא מקורי של הסקריפט בו נעסוק הפעם הוא:  Ultimate Blackhat System  \ Blackhat Traffic \  Ultimate Blackhat Software  תקראו לזה איך שאתם רוצים – מה שבטוח הוא, שזה Black Hat לגמרי.

קצת מידע כללי

מדובר על כלי שככל הנראה פותח לשימוש אישי של יוצריו, ואי שם בשנת 2012 לפני כחצי שנה לערך החליטו היוצרים מסיבותיהם (כנראה העובדה שזה כבר נחשף בכמה בלוגים של אבטחה)  לשחרר את הכלי למכירה עבור הקהל הרחב (אמנם ללא קמפיין שיווק אגרסיבי – מה שהיה מחריב את אפשרות השימוש בכלי די במהירות) ולשמחתי הלא מעטה, בדיוק כאשר חיפשתי משהו מעניין לכתוב עליו הסקריפט הנחמד נחת אצלי במייל כמו מתנה משמיים. ובואו נסקור את כל הקשור בכלי הזה כדי שנבין מה אפשר לעשות איתו וכיצד להמנע מליפול קורבן אליו ולשכמוהו.

אז איך הסקריפט עובד?

ברמה הטכנולוגית, הסקריפט מאוד מאוד פשוט – ולא ממש מחדש משהו, סה"כ מנצל פונקציית PHP רגילה ב-Frontend בשם CURL המתקשרת עם ה-Backend של הסקריפט על מנת להשתיל כל קוד רצוי בקובץ המכיל את פיסת הקוד שנראית כברירת המחדל של הסקריפט בערך כך:

קוד BLACK HAT SYSTEM

כאשר החלק בריבוע האדום יהיה בעצם שם הדומיין המארח את חלק ה-Backend של המערכת ושם אקראי כלשהו של קובץ שהוא בעצם קלואקינג של שם הקובץ האמיתי שמבצע את התקשורת בין הצדדים – לרוב אם תלחצו על הדומיין או על הקובץ, לא ממש תקבלו פלט שכן המערכת מגיעה גם עם קבצי Htaccess מוכנים להסוואת הגישה לשרת האחורי ואפשרויות לשינוי שמות הקבצים האקטיביים.

כאשר הקוד הנ"ל שמן הסתם מושתל בקובץ כלשהו בשרת כלשהו נטען לראשונה ע"י מישהו שגולש לאתר הנגוע, כתובת ה-IP של השרת המארח וכתובת הדומיין נשלחים מייד ל-Backend ונרשמים ב-DB של הסקריפט כדומיינים נגועים, כך שאם נעשתה עבודת "הפצה טובה" אז ה-Backend ייראה משהו כזה:

רשימת IP קידום אתרים שחור

כלומר – רשימה של כתובות IP ודומיינים העומדים לרשות המפעיל, ובעצם משמשים אותו בתור רשת הבלוגים הפרטית שלו. ובשלב השלישי כאשר הסקריפט הראשוני נטען בעוד דפים של האתר – יופיעו בפאנל הניהול כל הדפים בהם נטען הסקריפט עליהם המפעיל יוכל לבצע מניפולציות:

דפים קידום אתרים שחור

טוב אני צריך להמשיך ולהסביר מה קורה עכשיו כשיש רשימה מאוד גדולה של כתובות IP \ דומיינים בפנאל הניהול בהם מושתל קוד המאפשר למפעיל לעשות בהם כרצונו?  כן אני צריך! אז נמשיך:

מה הסקריפט יודע לעשות בעצם?

ועכשיו כשלמפעיל יש כתובות IP "נגועות" בפאנל הניהול שלו מה הוא יכול לעשות איתן בעצם?  לסקריפט יש כמה אפשרויות מובנות – שאגב ניתן להרחיב בקלות עם כשרון מועט מאוד אפילו ב-PHP. והיכולות הן:

1) לשתול קישורים באיזה דפים שרוצים עם איזה אנקורים שרוצים ואף לעשות רוטציה ביניהם – ניתן אף לעצב אותם כמובן ובכלל להכניס איזה קוד נוסף שרוצים יחד איתם.
2) להפנות טראפיק בעזרת אגף ה-Redirector של הסקריפט – כלומר, לומר לו להפנות אחוז מסויים של התנועה לבחירת המפעיל מ 1% עד 100% מדף מסויים אל דף מסויים אחר ששיך למפעיל כמובן:

הפניות Black Hat

מן הסתם שהדף אליו מופנית התנועה יכול להיות הצעת CPA כלשהי או סתם אתר…

3) הטמעת קוד גלובלי בכל ה-IP החשופים כולם, כל מה שצריך לעשות הוא פשוט להזין את הקוד – ואותו קוד יופיע בכל האתרים הנגועים, הקוד יכול להיות HTML , JS  או PHP או כולם ביחד -  אתם יכולים לחשוב לבד עד כמה זה יכול להיות מסוכן  (שימוש באפשרות זאת במערכת של מסחר אלקטרוני לדוגמא יכולה לגרום ללא פחות מאסון)

קוד גלובלי BLACK HAT

4) הסקריפט יכול גם ליצור קבוצות קישורים ולעשות רוטציה ביניהם.
5) ניתן לערוך את "הטמפלייטים" העוטפים את הקישורים.
6) הסקריפט יודע לאתר גם דומיינים נוספים המאוחסנים על אותו IP.

וזהו סה"כ,  כל כך פשוט, כל כך יעיל וכל כך… שחור.

* הייתי מוסיף גם בדיקת PR של האתרים אם הייתי מפתח הסקריפט

הבעיה: הקלות בה ניתן להפיץ את הקודים הזדוניים מצד אחד או להיות נגוע בהם מצד שני

תהליך זיהום האתרים עם הקוד הזדוני של הסקריפט על מנת להכניסם תחת שליטתכם (לא באמת שליטתכם כי ברור שלא תעשו זאת…) הוא כל כך פשוט, וזה מה שהופך את הורדת הקבצים הפיראטית לכל כך בעייתית,  וזה הולך בערך כך:

1) קונים כמה תבניות פופולאריות וחדשות של מערכות ניהול תוכן (וורדרפס ג'ומלה וכו')
2) ביצוע כמה שינויים קלים בקוד המופיע למעלה על מנת שלא יהיה פשוט לאתר אותו כמו אחד השינויים הבאים:

  • הוספת קוד קלואקינג שיגרום לקישורים שמכניסים להופיע רק עבור גוגל ולא עבור הגולשים, מה שימנע מבעל האתר לדעת על קיום הפרצה בזמן הקרוב, בצורה כזאת בערך.
  •  הוצאת הפונקציה לקריאה מקובץ חיצוני מה שיקשה על איתור בסריקה מהירה
  •   הסוואה כחלק מהפונקציות בקובץ ה Functions.php או חלוקתה חלקים במספר איזורים שונים של התבנית וקריאה אליה ממקום אחד צריך להקדיש קצת זמן בשביל לאתר..)
  • קידוד הפונקציה בעזרת BASE64 או IOCUBE וכו' (מאוד חשוד כמובן)
  • דרך ברירת המחדל של הסקריפט, להסוות את הקובץ: www.somdomain/somfile.somthing בתור שם קובץ תמים כמו Jquey1.6.3.js על ידי שכתוב פשוט דרך ה-Htaccess כאשר הוא מאוחסן על דומיין עם שם תמים כמו jquey-apis.org מה שמקשה עוד על האיתור.

(הנה כמה רעיונות שכדאי לכם לשים לב אליהם…)

3) בשלב השלישי כל מה שצריך לעשות הוא להכניס את הקוד המשופר לתבנית הנבחרת ופשוט להעלות את התבניות לכמה מפורומי ה-Warez עתירי הטראפיק – ויש לא מעט כאלו, לדוגמא קובץ נגוע שהורד אלפי פעמים ואף שכמה משתמשים דיווחו על כך הוא לא נמחק מכוון שהגישה בפורומים האלה היא "תדאגו לעצמכם":



נכון שרבים יסירו את הקוד הבעייתי – בעיקר אם הוא קל מאוד לאיתור, אבל מובטח שגם רבים לא – ואין צורך להרחיב מה ניתן לעשות עם רשת קישורים כזה שגם ניתן להגדילה על בסיס יומי.  וכמובן, כל השלבים למעלה הם במתכונת של חזור על שלושת השלבים כמה פעמים שתרצה.

אז כיצד מתגוננים מדברים כאלו?

אז כדי שחשיפת המידע הזה לא תהיה ממש לחינם, ועבור אותם שני הקוראים שהגיעו עד פה ועדיין לא הלכו להוריד את הסקריפט הזה ולנסות אותו – חובה עלינו גם לציין את דרכי ההתגוננות על מנת שלא ניפול ברשתו של מישהו ואז נופתע כאשר יופיעו לנו בפוטר קישורים המציעים Penis Enlargement וכדומה. האמת שההתגוננות היא די קלה:

1) לא להוריד דברים מפורומים אלא לקנות – או להוריד ולנסות בסביבה בטוחה (שרת ניסוי או Vm) ואח"כ לקנות.
2) לבדוק את קבצי ה-Header, Footer, Functions – אלו המועדים ביותר לפורענות (בוורדפרס, לא נכנס לשאר, זה הכי נפוץ גם ככה)
3) לבדוק גם תוספים ווידג'טים  – הם גם מהווים מטרות מאוד מאוד נפוצות.
4) לבדוק את ה-Cache של האתר שלכם – אם יש קישורים שחשופים רק לגוגל – הם יופיעו שם.
5) חושדים שיש משהו? בדקו בעזרת Fetch As GoogleBot בכלי ניהול האתרים.
6) חפשו עדויות לכל הדברים האמורים בסעיף 2 של החלק הקודם – לא מבינים מספיק בקוד כדי לעשות זאת?  אל תורידו שום דבר פרוץ!

אך כמובן שסעיף המפתח הוא סעיף מספר 1 כמובן.

לסיכום

חשוב לדעת – לנסות ולהכיר, דעו שהיום גם דברים כאלו מסתובבים בשוק החופשי לחלוטין בלי בושה, ויש גם גרועים יותר (מי שמכיר את נושא ה-Fud Crypters והוירוסים כמו Zeus ומשפחתו) אך כמובן שמה שבחרתי להתמקד בו הוא כלי שיש לו קשר ישיר לענייני קידום וקישורים -  והכי חשוב – Dont Be Evil.

הדגמה של הסקריפט בפעולה למי שמעוניין:

YouTube Preview Image

מה דעתכם? שווה ניסוי לבדיקת יכולת התפוצה תוך זמן נתון?

VN:F [1.9.18_1163]

מה דעתכם על הפוסט?

דירוג: 9.9/10 (9 הצבעות )

VN:F [1.9.18_1163]

דירוג: +6 (מתוך 6 הצבעות)

Links Jacking מעולם לא היה קל יותר, 9.9 out of 10 based on 9 ratings


שתפו אותנו בפייסבוק גוגל ובטוויטר!
אהבתם את מה שקראתם? הכניסו את כתובת המייל שלכם
והרשמו לעדכונים כדי שתהיו הראשונים לקבל את המידע שאף אחד לא מספר לכם: