Interessante neue Art von WordPress-Spam

E scheint eine neue Art zu geben, wie Spammer versuchen Benutzer auf Spam-Seiten zu locken: WordPress Plugin Spam

Wie die meisten anderen Autoren überprüfe ich regelmäßig, was andere über meine Plugins sagen. Tatsächlich habe ich einen Google Alert auf die Namen gesetzt. Neulich erhielt ich eine Mail, die mir mitteilte, dass es einen neuen Fork meines pagebar-Plugins namens Advance pagebar gibt. Cool, da hat jemand ein neues Plugin auf Basis meines Codes geschrieben.

Das Plugin heißt komplett „Advance Pagebar – New way to navigate Pages …“. Überraschenderweise funktionierte der Link „http://wordpress.org/extend/plugins/advance-pagebar/“ nicht. Was war da los?

Nachdem ich meine Lieblings-Suchmaschine befragt habe fand ich schließlich eine Kopie des verdächtigen Plugins (Link bewusst ausgelassen).

Der „Autor“ dieses neuen Plugins hat nicht viel geändert. Zuerst hat er den Kopf des Plugins angepasst:

Original:

Plugin Name: Pagebar2
Plugin URI: <a class="linkification-ext" title="Linkification: http://www.elektroelch.de/hacks
/wp/pagebar" href="http://www.elektroelch.de/hacks/wp/pagebar">http:
//www.elektroelch.de/hacks/wp/pagebar</a>
Description: Adds an advanced page navigation to Wordpress.
Version: 2.59
Author: Lutz Schröer
Author URI: <a class="linkification-ext" title="Linkification: http://elektroelch.de/blog" href="http://elektroelch.de/blog">http://elektroelch.de/blog</a>

Geänderter Kopf:

Plugin Name: Advance Pagebar
Plugin URI: <a class="linkification-ext" title="Linkification: http://***.com/advance-
pagebar/" href="http://***.com/advance-pagebar/">http://***.com/advance-
pagebar/</a>
Description: For using the plugin, read the  <a title="Advance Pagebar" href="http://***.com/advance-pagebar/">Advance PagebarInstruction Page</a>  .Adds 
an advanced page navigation to Wordpress.
Version: 6.143.3
Author: Lutz Schröer
Author URI: <a class="linkification-ext" title="Linkification: http://***.com/" href="http://***.com/">http://***.com/</a>

(Die drei Sterne waren die Originaladresse.)

Tolle Wurst, er hat noch nicht einmal meinen Namen geändert! Mit der Verwendung der hohen Versionsnummer „6.143.3“ möchte er wohl vortäuschen, dass es sich u ein etabliertes Plugin handelt.

Zusätzlich hat er die readme.txt-Daei geändert:

Original:

=== pagebar ===
Contributors: Lutz Schroeer
Donate link: <a class="linkification-ext" title="Linkification: http://elektroelch.de" href="http://elektroelch.de">http://elektroelch.de</a>
Tags: navigation, navi, page, comments
Requires at least: 2.7
Tested up to: 3.01
Stable tag: trunk

Fälschung:

=== Advance Pagebar - New Way to Navigate Pages ===
Contributors: Lutz Schroeer
Donate link: <a class="linkification-ext" title="Linkification:
http://111waystomakemoney.com/donate/" href="http://111waystomakemoney.com
/donate/">http://111waystomakemoney.com/donate/</a>
Tags: admin, plugin, footer, links, copyright, administration, blog,Google Adsense, 
WordPress,Plugin,widget,post,plugin,admin,sidebar,comments,images,twitter,page,google,lin
ks,image,ad,admin,administration,ads,adsense,advertising,affiliate,AJAX,amazon,analytics,a
nti-spam,api,archive,atom,audio,authentication,author,automatic,Avatar,blog,blogroll,book,
bookmark,bookmarking,bookmarks,buddypress,button,calendar,captcha,categories,category
,cms,code,comment,comments,community,contact,content,counter,CSS,custom,dashboard
,database,date,del.icio.us,delicious,Digg,edit,editor,email,embed,event,events,excerpt,Fac
ebook,feed,feeds,filter,flash,flickr,form,Formatting,gallery,google,google,maps,html,image,im
ages,integration,iphone,javascript,jquery,language,lightbox,link,links,list,login,mail,manage,
maps,media,menu,meta,mobile,mp3,music,myspace,navigation,News,nofollow,notification,p
age,pages,password,paypal,performance,permalink,photo,photos,php,picture,pictures,plugi
,plugins,Post,posts,profile,quotes,random,Reddit,redirect,register,registration,related,rss,sc
roll,search,security,seo,Share,sharing,shortcode,sidebar,simple,slideshow,social,social,book
marking,social,media,spam,statistics,stats,Style,tag,tags,technorati,template,text,theme,t
hemes,thumbnail,time,TinyMCE,title,tracking,tweet,twitter,update,upload,url,user,users,vid
eo,widget,widgets,wordpress,wpmu,xml,yahoo,youtube navigation, navi, page, comments
 
Requires at least: 2.7
Tested up to: 3.01
Stable tag: trunk

Hey, der Typ muss ein SEO-Experte sein (nichts für ungut, Yoast).

Original:

Pagebar adds a nice page bar to your blog posts, multipaged posts and 
paged comments:
 <img src="http://elektroelch.de/hacks/wp/pagebar/wp-content/uploads/2009/04
/pagebar.jpg" alt="" />

Fälschung:

Pagebar adds a nice page bar to your blog posts, multipaged posts 
 
For detailed description of the plugin visit plugin page at [Advance Pagebar](<a class="linkification-ext" title="Linkification: http://111waystomakemoney.com/advance-
pagebar/" href="http://111waystomakemoney.com/advance-pagebar/">http:
//111waystomakemoney.com/advance-pagebar/</a>).

Der Spammer hat auch etwas Text der readme.txt zugefügt:

**Demo:**
demo: [Advance Pagebar Demo](<a class="linkification-ext" title="Linkification: 
http://***.com/advance-pagebar/" href="http://***.com/advance-pagebar/">http:
//***.com/advance-pagebar/</a>).
 
Warm Regards,
Rahul  
 
[Advance Pagebar](<a class="linkification-ext" title="Linkification: http://***.com
/advance-pagebar/" href="http://***.com/advance-pagebar/">http://***.com/advance-
pagebar/</a>).

Was ein netter Typ: Warm Regards (Herzliche Grüße). Und sein Name ist Rahul? Das ist indisch, oder?

Schließlich hat er auch noch die Changelog geändert:

== Changelog ==
= 6.143.3 =
 
* initial release

Version 6.142.3 als erstes Release? Klar!

Wenn man sich die anderen Dateien ansieht kann man erkennen, dass der Spammer lediglich alle pagebar durch Advance pagebar ersetzt.

Original:

if (!empty($_POST ['pagebar2update'])) {

Fälschung:

if (!empty($_POST ['Advance Pagebarupdate'])) {

Der Spammer fand es auch ganz toll einige Links in die Einstellungsseiten einzustreuen und er hat sogar eine Spendenseite. Wie niedlich!

<h2 style="text-align: left">For More Useful Plugins Visit:<a href="http://***.com/" target="_blank">Wordpress Plugins</a></h2>
 
 
<h2 style="text-align: left">If u like the plugin please Donate:<a href="http://***.com
/donate/" target="_blank">Plugin Donation Page</a></h2>
 
 
<h1 style="text-align: left">For Instructions Visit:<a href="http://***.com/advance-
pagebar/" target="_blank">Plugin Page</a></h1>

Er hat wirklich etwas Arbeit in die Plugin-Fälschung investiert. Schlußendlich hat er noch eine Datei index.html in das Plugin-Verzeichnis kopiert. Warum auch immer:

Wordpress Advance Pagebar - New Way To Navigate Pages Plugin
 
<h1><a title="Wordpress Advance Pagebar - New Way To Navigate  Pages 
Plugin">Advance Pagebar - New Way To Navigate Pages Plugin</a></h1>
 
 
Pagebar adds a nice page bar to your blog posts, multipaged posts
 
For detailed description of the plugin visit plugin page at Advance Pagebar.
 
			Author: Lutz Schroeer		
 
Tags: ad, admin, administration, ads, adsense, advertising, affiliate, AJAX, amazon,
analytics, anti-spam, api, archive, atom, audio, authentication, author, automatic, Avatar,
blog, blogroll, book, bookmark, bookmarking, bookmarks, buddypress, button, calendar,
captcha, categories, category, cms, code, comment, comments, community, contact,
content, copyright, counter, CSS, custom, dashboard, database, date, del.icio.us, Digg,
edit, editor, email, embed, event, events, excerpt, Facebook, feed, feeds, filter, flash,
flickr, footer, form, Formatting, gallery, google, google adsense, html, image, images,
integration, iphone, javascript, jquery, language, lightbox, link, links, list, login, mail,
manage, maps, media, menu, meta, mobile, mp3, music, myspace, navi, navigation, News,
nofollow, notification, page, pages, password, paypal, performance, permalink, photo,
photos, php, picture, pictures, plugin, plugins, Post, posts, profile, quotes, random,
Reddit, redirect, register, registration, related, rss, scroll, search, security, seo, Share,
sharing, shortcode, sidebar, simple, slideshow, social, spam, statistics, stats, Style, tag,
tags, technorati, template, text, theme, themes, thumbnail, time, TinyMCE, title, tracking,
tweet, twitter, update, upload, url, user, users, video, widget, widgets, wordpress, wpmu,
xml, yahoo, youtube navigation		
 
<a title="Wordpress Plugins" href="http://www.wordpress----plugin.org/">Click
for Beautiful Wordpress Plugins</a>

Da ist ein Link zur WordPress-Pluginseite. Wirklich? Nein! (Deshalb habe ich drei Striche zu der Adresse hinzugefügt.) Um seinen Betrug zu perfektionieren hat der Spammer tatsächlich eine Domain registriert. Diese Seite listet einige andere Plugins auf, die in ähnlicher Weise infiziert sind, es wurden aber nicht die Namen geändert. Was für eine Ehre für pagebar! Ich denke, ich sollte die anderen Autoren über diese Spam-Attacke informieren.

Die Spamseite

Mutig wie ich bin habe ich die Seite besucht, auf die der Spammer verweist:

Sieht wie eine typische Seite über WordPress-Plugins aus. Der Quellcode enthäkt keinen verdächtigen Javascript- oder Flashcode. Weiter unten ist sogar richtiger Inhalt:

Sieht wie echter Inhalt aus. Wie man sieht, gibt es sogar Kommentare:

  • John says:
    September 8, 2010 at 8:27 am

    hey man, nice blog…really like it and added it to bookmarks. keep up with good work

  • Anton Dirksma says:
    September 8, 2010 at 10:46 am

    Hey, very nice website. I actually came across this on Bing, and I am happy I did. I will definately be coming back here more often. Wish I could add to the conversation and bring a bit more to the table, but am just absorbing as much info as I can at the moment. Thank You


Die Liste geht so immer weiter. Auf den ersten Blick sieht das richtig echt aus, aber wenn man sich die Kommentare und die Zeit der Kommentare näher ansieht erkennt man, dass sie automatisch erstellt wurden.

Hinter der Bühne

Wer steckt hinter dem Ganzen? Fragen wir nic.com:

Registrant:
111waystomakemoney

hyderabad
india
hyderabad, Andhra Pradesh 500016
India

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: 111WAYSTOMAKEMONEY.COM
Created on: 30-Aug-10
Expires on: 30-Aug-11
Last Updated on: 30-Aug-10

Wie ich vermutet habe, ein Typ aus Indien (Rahul ist ein typischer Name in Bollywood-Filmen). Richtig lustig wird es, wenn man die Adresse bei Google Maps eingibt: es ist der Begumpet Flughafen. LOL!

Zusammenfassung

Alles in allem ist es Spam, aber einen Schritt weiter. Der durchschnittliche WordPress-Benutzer erwartet keinen Spam in Plugins und, wenn ich die GPL richtig verstanden habe, kann man auch nicht viel dagegen machen. Alle gekaperten Plugins sind unter der GPL veröffentlicht worden. Jeder kann damit fast alles machen, solange er den Code wieder unter der GPL veröffentlicht. Der Spammer macht nichts Illegales und selbst wenn er würde, wie groß sind die Chancen es zu unterbinden? Null. Wir können lediglich ein Auge auf die Seite haben und alle Autoren, deren Plugins betroffen sind, davon informieren.

Moment, etwas können wir doch machen, nämlich uns bei der Mannschaft von Automattic zu bedanken, dass sie solche Spam-Plugins schnell von der offiziellen Plugin-Seite entfernt haben!

Related posts:

  1. Endlich: Kommentar-Spam!
  2. WordPress: Absprung im Plugin-Bereich v2.7
  3. Woher kommt das Wort Spam?
  4. WordPress Crazyhorse … no thanks!
  5. Hello Dolly 2010

Ein Gedanke zu „Interessante neue Art von WordPress-Spam“

  1. Ein freundliches Halli Hallo,

    Danke für die Tipps zu Spam per WordPress auf diesem Blog. Interessant und abschreckend, dass man gegen Spam in Plugins nichts machen kann. Solltest Du eine Lösung finden, ein weiterer Beitrag dazu wäre schön.

    MFG bebo

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert