{"id":180682,"date":"2016-08-20T12:23:55","date_gmt":"2016-08-20T10:23:55","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=180682"},"modified":"2022-08-19T09:12:33","modified_gmt":"2022-08-19T07:12:33","slug":"nachgang-zu-wordpress-plugin-generiert-spam-deutsche-webseiten-betroffen-und-referenzieren-escort-dienste","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/08\/20\/nachgang-zu-wordpress-plugin-generiert-spam-deutsche-webseiten-betroffen-und-referenzieren-escort-dienste\/","title":{"rendered":"Nachgang zu &lsquo;WordPress-Plugin generiert Spam&rsquo; &ndash; deutsche Webseiten betroffen und referenzieren Escort-Dienste"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/07\/wp_thumb.jpg\" alt=\"\" width=\"64\" height=\"64\" \/>Die Woche hatte ich den Artikel <em>WordPress-Plugin generiert Suchmaschinen-Spam\u00a0<\/em>(gel\u00f6scht) hier im Blog. \u00c4u\u00dferst unsch\u00f6n: Das Plugin injizierte Suchmaschinen-Spam im Blog, der auf Escort-Dienste in England und Kreditangebote verweist. Ein kurzer Test meinerseits zeigt, dass einige deutsche Webseiten, u.a. Heilpraktiker, Vereine und ein Enterprise Hosting-Unternehmen, betroffen sind. Hier noch ein paar zus\u00e4tzliche Infos.<\/p>\n<p><!--more--><\/p>\n<h3>Kritik an den WordFence-Machern f\u00fcr die Aufdeckung<\/h3>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/95ca8e10017f480697fdd602919144be\" alt=\"\" width=\"1\" height=\"1\" \/>Die Macher des Sicherheitsanbieters WordFence, die dies aufdeckten, wurden vom WordPress-Team, welches das Plugin-Repository pflegt, und vom Autor des Plugin heftig f\u00fcr die Ver\u00f6ffentlichung kritisiert. Hier ein paar Erg\u00e4nzungen, was die WordFence-Spezialisten bei der Analyse herausgefunden haben:<\/p>\n<ul>\n<li>Der Suchmaschinen-Spam wird vor dem Seitenbetreiber und jedem Besucher versteckt \u2013 man stolpert also nicht \u00fcber den injizierten Code.<\/li>\n<li>Nur wenn eine Suchmaschine mit dem passenden User-Agent (Browser Identification String) die Site abfragt, wird der Spam ausgeliefert.<\/li>\n<li>Das Plugin fordert die Zustimmung beim Abnicken der Lizenzbedingungen an. Die Info findet sich aber hinter einer l\u00e4nglichen Kopie der GNU general public license \u2013 ein Nutzer muss also sehr weit nach unten scrollen, um die Stelle im Text zu finden.<\/li>\n<li>Der Spam verlinkt auf einen britischen Escort-Dienst und wohl auf eine Seite, die Gehaltskredite (Payday Loan) anbietet.<\/li>\n<\/ul>\n<p>Das war f\u00fcr die Betreiber von WordFence genug, um deren Nutzer auf der Mailing-List zu informieren (so habe auch ich davon erfahren). Die Vorstellung der Leutchen vom WordPress-Maintainer-Zirkel, die heftige Kritik \u00fcbten: Erst den Plugin-Autor kontaktieren. Wenn der nicht reagiert, die Maintainer des WordPress-Plugin-Repository kontaktieren, aber nix ver\u00f6ffentlichen. Das WordFence-Team hat jetzt den ganze Fall und ein paar zus\u00e4tzliche Informationen im Artikel <a href=\"https:\/\/www.wordfence.com\/blog\/2016\/08\/will-always-put-customers-community-first\/\" target=\"_blank\" rel=\"noopener\">We will always put our customers and community first<\/a> offen gelegt. Vielleicht interessiert es den einen oder anderen WordPress-Nutzer.<\/p>\n<h3>Ist mein Blog betroffen?<\/h3>\n<p>An dieser Stelle noch ein paar Infos f\u00fcr die WordPress-Blog-Betreiber, die hier mitlesen. Wie kann ich pr\u00fcfen, ob mein Blog von diesem \"Vorfall\" betroffen ist? Die Wordfence-Macher haben im oben verlinkten Blog-Beitrag eine Zeichenkette angegeben, die offenbar als Kennung f\u00fcr den Spam im Blog injiziert wird. Befragt man eine Suchmaschine seines Vertrauens kommt man schon ins Staunen \u2013 weltweit sind \u00fcber 8.600 Treffer zu verzeichnen, die Suchmaschinen-Werbung f\u00fcr einen britischen Escort-Dienst und mehr machen. Kommt besonders gut bei Schulen.<\/p>\n<p><img decoding=\"async\" title=\"Seiten mit Suchmaschinen-Spam\" src=\"https:\/\/i.imgur.com\/rQRUrHv.jpg\" alt=\"Seiten mit Suchmaschinen-Spam\" \/><\/p>\n<p>Ich habe mal Google nach <em>&lt;string&gt; site:.de <\/em>befragt (den String findet ihr <a href=\"https:\/\/www.wordfence.com\/blog\/2016\/08\/will-always-put-customers-community-first\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>) \u2013 das Plugin ist wohl speziell auf den Browser-Identifizierungsausdruck von Suchmaschinen wie Google zugeschnitten. Da kommst Du schon ans Gr\u00fcbeln, wer da aufgelistet wird (siehe den obigen Screenshot). Ich habe mal einige Betreiber angemailt und auf das Thema hingewiesen.<\/p>\n<p>Ich verzichte darauf, den String hier im Blog aufzunehmen \u2013 bin da gebranntes Kind. Nachdem ich einen PayPal-Phishing-Fall in Blog-Beitr\u00e4gen aufbereitet hatte, landete mein Blog auf zahlreichen Black-Lists. Und das, obwohl ich die Links zu den kompromittierten Webseiten entsch\u00e4rft hatte (keiner war funktional). Da die Black-List-Filter aber ziemlich doof sind, haben die die Blanks und anderen Zeichen aus meinen entsch\u00e4rften Links rausgefiltert und messerscharf geschlossen, dass meine Seite auf Phishing-Angeboten oder Malware verweist. Ihr k\u00f6nnt aber<a href=\"https:\/\/www.startpage.com\/do\/search?cmd=process_search?cmd=process_search&amp;query=site%3Aborncity.com+%22sdf98jhk%22\"> diesen Link<\/a> verwenden und die URL borncity.com gegen eure Webseitenadresse austauschen (danke an Michael\u00a0f\u00fcr den 'Hint').<\/p>\n<h3>Nachtr\u00e4ge: Info schwierig, andere Plugins machen es wohl auch<\/h3>\n<p>Das Anmailen von Betreibern hat sich als nicht so einfach herausgestellt. Einige Betreiber geben schlicht kein Impressum oder eines ohne E-Mail-Adresse an. Da m\u00fcsste ich anrufen oder per reitendem Boten eine Info schicken (so z.B. an die wackeren M\u00e4nner vom Luftwaffenmuseum oder deren Website-Betreiber).<\/p>\n<p>Zudem habe ich mal die URL des Escort-Service sowie f\u00fcr Short Term Loans bei Google in der Suche eingegeben. Da tauchen weitere Webseiten, wie irgend eine Landjugend, Yelp (d\u00fcrfte von jemandem eingetragen worden sein) sowie Blogs auf. Scheint, als ob weitere Plugins da diesen Ansatz verfolgen und Suchmaschinen-Spam injizieren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Die Woche hatte ich den Artikel WordPress-Plugin generiert Suchmaschinen-Spam\u00a0(gel\u00f6scht) hier im Blog. \u00c4u\u00dferst unsch\u00f6n: Das Plugin injizierte Suchmaschinen-Spam im Blog, der auf Escort-Dienste in England und Kreditangebote verweist. Ein kurzer Test meinerseits zeigt, dass einige deutsche Webseiten, u.a. Heilpraktiker, Vereine &hellip; <a href=\"https:\/\/borncity.com\/blog\/2016\/08\/20\/nachgang-zu-wordpress-plugin-generiert-spam-deutsche-webseiten-betroffen-und-referenzieren-escort-dienste\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1574],"tags":[2769,4328,425,4349],"class_list":["post-180682","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-wordpress","tag-plugin","tag-sicherheit","tag-spam","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180682","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=180682"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/180682\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=180682"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=180682"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=180682"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}