E scheint eine neue Art zu geben, wie Spammer versuchen Benutzer auf Spam-Seiten zu locken: WordPress Plugin Spam

Wie die meisten anderen Autoren überprüfe ich regelmäßig, was andere über meine Plugins sagen. Tatsächlich habe ich einen Google Alert auf die Namen gesetzt. Neulich erhielt ich eine Mail, die mir mitteilte, dass es einen neuen Fork meines pagebar-Plugins namens Advance pagebar gibt. Cool, da hat jemand ein neues Plugin auf Basis meines Codes geschrieben.

Das Plugin heißt komplett “Advance Pagebar – New way to navigate Pages …”. Überraschenderweise funktionierte der Link “http://wordpress.org/extend/plugins/advance-pagebar/” nicht. Was war da los?

Nachdem ich meine Lieblings-Suchmaschine befragt habe fand ich schließlich eine Kopie des verdächtigen Plugins (Link bewusst ausgelassen).

Der “Autor” dieses neuen Plugins hat nicht viel geändert. Zuerst hat er den Kopf des Plugins angepasst:

Original:

Plugin Name: Pagebar2
Plugin URI: http:
//www.elektroelch.de/hacks/wp/pagebar
Description: Adds an advanced page navigation to WordPress.
Version: 2.59
Author: Lutz Schröer
Author URI: http://elektroelch.de/blog

Geänderter Kopf:

Plugin Name: Advance Pagebar
Plugin URI: http://***.com/advance-
pagebar/
Description: For using the plugin, read the  Advance PagebarInstruction Page  .Adds 
an advanced page navigation to WordPress.
Version: 6.143.3
Author: Lutz Schröer
Author URI: http://***.com/

(Die drei Sterne waren die Originaladresse.)

Tolle Wurst, er hat noch nicht einmal meinen Namen geändert! Mit der Verwendung der hohen Versionsnummer “6.143.3” möchte er wohl vortäuschen, dass es sich u ein etabliertes Plugin handelt.

Zusätzlich hat er die readme.txt-Daei geändert:

Original:

=== pagebar ===
Contributors: Lutz Schroeer
Donate link: http://elektroelch.de
Tags: navigation, navi, page, comments
Requires at least: 2.7
Tested up to: 3.01
Stable tag: trunk

Fälschung:

=== Advance Pagebar - New Way to Navigate Pages ===
Contributors: Lutz Schroeer
Donate link: http://111waystomakemoney.com/donate/
Tags: admin, plugin, footer, links, copyright, administration, blog,Google Adsense, 
WordPress,Plugin,widget,post,plugin,admin,sidebar,comments,images,twitter,page,google,lin
ks,image,ad,admin,administration,ads,adsense,advertising,affiliate,AJAX,amazon,analytics,a
nti-spam,api,archive,atom,audio,authentication,author,automatic,Avatar,blog,blogroll,book,
bookmark,bookmarking,bookmarks,buddypress,button,calendar,captcha,categories,category
,cms,code,comment,comments,community,contact,content,counter,CSS,custom,dashboard
,database,date,del.icio.us,delicious,Digg,edit,editor,email,embed,event,events,excerpt,Fac
ebook,feed,feeds,filter,flash,flickr,form,Formatting,gallery,google,google,maps,html,image,im
ages,integration,iphone,javascript,jquery,language,lightbox,link,links,list,login,mail,manage,
maps,media,menu,meta,mobile,mp3,music,myspace,navigation,News,nofollow,notification,p
age,pages,password,paypal,performance,permalink,photo,photos,php,picture,pictures,plugi
,plugins,Post,posts,profile,quotes,random,Reddit,redirect,register,registration,related,rss,sc
roll,search,security,seo,Share,sharing,shortcode,sidebar,simple,slideshow,social,social,book
marking,social,media,spam,statistics,stats,Style,tag,tags,technorati,template,text,theme,t
hemes,thumbnail,time,TinyMCE,title,tracking,tweet,twitter,update,upload,url,user,users,vid
eo,widget,widgets,wordpress,wpmu,xml,yahoo,youtube navigation, navi, page, comments

Requires at least: 2.7
Tested up to: 3.01
Stable tag: trunk

Hey, der Typ muss ein SEO-Experte sein (nichts für ungut, Yoast).

Original:

Pagebar adds a nice page bar to your blog posts, multipaged posts and 
paged comments:
 

Fälschung:

Pagebar adds a nice page bar to your blog posts, multipaged posts 

For detailed description of the plugin visit plugin page at [Advance Pagebar](http:
//111waystomakemoney.com/advance-pagebar/).

Der Spammer hat auch etwas Text der readme.txt zugefügt:

**Demo:**
demo: [Advance Pagebar Demo](http:
//***.com/advance-pagebar/).

Warm Regards,
Rahul  

[Advance Pagebar](http://***.com/advance-
pagebar/).

Was ein netter Typ: Warm Regards (Herzliche Grüße). Und sein Name ist Rahul? Das ist indisch, oder?

Schließlich hat er auch noch die Changelog geändert:

== Changelog ==
= 6.143.3 =

* initial release

Version 6.142.3 als erstes Release? Klar!

Wenn man sich die anderen Dateien ansieht kann man erkennen, dass der Spammer lediglich alle pagebar durch Advance pagebar ersetzt.

Original:

if (!empty($_POST ['pagebar2update'])) {

Fälschung:

if (!empty($_POST ['Advance Pagebarupdate'])) {

Der Spammer fand es auch ganz toll einige Links in die Einstellungsseiten einzustreuen und er hat sogar eine Spendenseite. Wie niedlich!

For More Useful Plugins Visit:WordPress Plugins


If u like the plugin please Donate:Plugin Donation Page


For Instructions Visit:Plugin Page

Er hat wirklich etwas Arbeit in die Plugin-Fälschung investiert. Schlußendlich hat er noch eine Datei index.html in das Plugin-Verzeichnis kopiert. Warum auch immer:

WordPress Advance Pagebar - New Way To Navigate Pages Plugin

Advance Pagebar - New Way To Navigate Pages Plugin


Pagebar adds a nice page bar to your blog posts, multipaged posts

For detailed description of the plugin visit plugin page at Advance Pagebar.

			Author: Lutz Schroeer		

Tags: ad, admin, administration, ads, adsense, advertising, affiliate, AJAX, amazon,
analytics, anti-spam, api, archive, atom, audio, authentication, author, automatic, Avatar,
blog, blogroll, book, bookmark, bookmarking, bookmarks, buddypress, button, calendar,
captcha, categories, category, cms, code, comment, comments, community, contact,
content, copyright, counter, CSS, custom, dashboard, database, date, del.icio.us, Digg,
edit, editor, email, embed, event, events, excerpt, Facebook, feed, feeds, filter, flash,
flickr, footer, form, Formatting, gallery, google, google adsense, html, image, images,
integration, iphone, javascript, jquery, language, lightbox, link, links, list, login, mail,
manage, maps, media, menu, meta, mobile, mp3, music, myspace, navi, navigation, News,
nofollow, notification, page, pages, password, paypal, performance, permalink, photo,
photos, php, picture, pictures, plugin, plugins, Post, posts, profile, quotes, random,
Reddit, redirect, register, registration, related, rss, scroll, search, security, seo, Share,
sharing, shortcode, sidebar, simple, slideshow, social, spam, statistics, stats, Style, tag,
tags, technorati, template, text, theme, themes, thumbnail, time, TinyMCE, title, tracking,
tweet, twitter, update, upload, url, user, users, video, widget, widgets, wordpress, wpmu,
xml, yahoo, youtube navigation		

Click
for Beautiful WordPress Plugins

Da ist ein Link zur WordPress-Pluginseite. Wirklich? Nein! (Deshalb habe ich drei Striche zu der Adresse hinzugefügt.) Um seinen Betrug zu perfektionieren hat der Spammer tatsächlich eine Domain registriert. Diese Seite listet einige andere Plugins auf, die in ähnlicher Weise infiziert sind, es wurden aber nicht die Namen geändert. Was für eine Ehre für pagebar! Ich denke, ich sollte die anderen Autoren über diese Spam-Attacke informieren.

Die Spamseite

Mutig wie ich bin habe ich die Seite besucht, auf die der Spammer verweist:

Sieht wie eine typische Seite über WordPress-Plugins aus. Der Quellcode enthäkt keinen verdächtigen Javascript- oder Flashcode. Weiter unten ist sogar richtiger Inhalt:

Sieht wie echter Inhalt aus. Wie man sieht, gibt es sogar Kommentare:

• John says:
  September 8, 2010 at 8:27 am

  hey man, nice blog…really like it and added it to bookmarks. keep up with good work

• Anton Dirksma says:
  September 8, 2010 at 10:46 am

  Hey, very nice website. I actually came across this on Bing, and I am happy I did. I will definately be coming back here more often. Wish I could add to the conversation and bring a bit more to the table, but am just absorbing as much info as I can at the moment. Thank You

Die Liste geht so immer weiter. Auf den ersten Blick sieht das richtig echt aus, aber wenn man sich die Kommentare und die Zeit der Kommentare näher ansieht erkennt man, dass sie automatisch erstellt wurden.

Hinter der Bühne

Wer steckt hinter dem Ganzen? Fragen wir nic.com:

Registrant:
111waystomakemoney

hyderabad
india
hyderabad, Andhra Pradesh 500016
India

Registered through: GoDaddy.com, Inc. (http://www.godaddy.com)
Domain Name: 111WAYSTOMAKEMONEY.COM
Created on: 30-Aug-10
Expires on: 30-Aug-11
Last Updated on: 30-Aug-10

Wie ich vermutet habe, ein Typ aus Indien (Rahul ist ein typischer Name in Bollywood-Filmen). Richtig lustig wird es, wenn man die Adresse bei Google Maps eingibt: es ist der Begumpet Flughafen. LOL!

Zusammenfassung

Alles in allem ist es Spam, aber einen Schritt weiter. Der durchschnittliche WordPress-Benutzer erwartet keinen Spam in Plugins und, wenn ich die GPL richtig verstanden habe, kann man auch nicht viel dagegen machen. Alle gekaperten Plugins sind unter der GPL veröffentlicht worden. Jeder kann damit fast alles machen, solange er den Code wieder unter der GPL veröffentlicht. Der Spammer macht nichts Illegales und selbst wenn er würde, wie groß sind die Chancen es zu unterbinden? Null. Wir können lediglich ein Auge auf die Seite haben und alle Autoren, deren Plugins betroffen sind, davon informieren.

Moment, etwas können wir doch machen, nämlich uns bei der Mannschaft von Automattic zu bedanken, dass sie solche Spam-Plugins schnell von der offiziellen Plugin-Seite entfernt haben!