Im Artikel Interessante neue Art von WordPress-Spam habe ich über eine Webseite berichtet, die Plugins anbietet um unbedarfte Nutzer auf eine Spam-Seite zu locken.
Seitdem war Rahul (der Mann hinter der Spamseite) nicht untätig. Ein deutscher Benutzer berichtete von Problemen mit seiner Webseite, die man ziemlich schnell auf Probleme mit einem Plugin zurückführen konnte. nach kurzer Recherche konnte ein Plugin namens Visitor Stats verantwortlich gemacht werden.
Ein kurzer Blick auf die bekannte Webseite bestätigte meinen Verdacht: Das Plugin wird von “111ways to make money” angeboten. Interessanterweise wird das Plugin von dieser Seite selbst (nicht mehr) angeboten. Na gut, vielleicht hat Rahul einfach vergessen sie hochzuladen. Aber woher hat der Benutzer das Plugin bekommen?
Ich gab den Plugin-Namen in meine Lieblingssuchmaschine ein und war überrascht:
Also gut, dies scheint das Original-Plugin zu sein, das von Rahul verändert wurde. Ich lud das Plugin herunter, um zu sehen, was Rahul geändert hat. Zu meiner Überraschung IST dies die verseuchte Datei, im offiziellen WordPress-Verzeichnis. OMFG!
Ich war aber nicht der erste der dies entdeckt hat, denn im Forum gab es bereits einige Artikel.
Dann werfen wir mal eine Blick auf den Quelltext.
Dem Feind auf den Zahn gefühlt
In den vorherigen Plugins sahen die Dateiköpfe sehr verdächtig aus, aber durch die Nutzung eines URL-Verkürzers sieht der Kopf jetzt etwas schlüssiger aus:
Plugin Name: visitor-stats
Version: 2.00
Plugin URI: http://tinyurl.***/visitorstats
Description: This plugin will keep track of visitors' information. Check this page for details. Requires at
least 2.6.3 and tested upto 2.7.1
Author: visitorstats
Author URI: http://tinyurl.***/2vmoonv
Natürlich führen die URLs zu der bekannten Betrugsseite, aber wer überprüft die Links schon bevor er darauf klickt, wir haben uns doch alle an TinyUrls gewöhnt.
Rahul hat sich auch einige Fähigkeiten in der Plugin-Programmierung angeeignet:
$wp_nr_footer_link_2 = 1;//change to 0 to remove the 'Improve the web...' link
function wp_nofollow_you_awareness() {
global $wp_nr_footer_link_2;
if($wp_nr_footer_link_2)echo ('
');
}
if(function_exists('get_sidebar'))add_filter('get_sidebar', 'wp_nofollow_you_awareness',10);
else add_action('wp_footer', 'wp_nofollow_you_awareness',10);"
In Zeile 30 deklariert er eine Variable und schreibt tatsächlich einen Kommentar dazu. Wie nett von ihm! Dann erstellt er eine Funktion die etwas JavaScript ausgibt. Die Funktion wird durch eine Filter und einen Action-Hook in der Sidebar und im Footer aufgerufen. Aber wird sie wirklich aufgerufen? Soweit ich weiß gibt es keinen Filter namens get_sidebar, sondern nur einen Action-Hook mit diesem Namen. Nun gut, ganz so clever scheint Rahul doch nicht zu sein.
Was macht das JavaScript, das auf die Seite geschmuggelt wird? Es zieht sich eine Werbung von linkbucks.com, der dann im Footer dargestellt wird da der Hook get_sidebar nicht funktioniert. Seit meiner letzten Betrachtung dieser Plugins ist das ein neues Geschäftsmodell.
Anschließend benutzt er einige iframes:
Das ist jetzt aber wirklich gewitzt! Vitbuzz.com scheint eine Community zu sein, in der sich College-Studenten treffen sollen (ist aber nur wenig besucht). Die Seite ist allerdings schlecht programmiert und man sie benutzen, um Links zu verschlüsseln.
Learn to make money onlineWe came
up with a idea of putting up all the money making ways and ideas together so that you
can choose one of them and start making money online. here we include the latest money
making ways that help you earn online from home .You can find many alternative money
making ways such as affiliate marketing, sock marketing, money from blogging, paid
surveys and lots more.
+So have a look at these tips and ideas and start making money online...happy earnings...
.
');
}
Hier fügt er einen Absatz hinzu und setzt die Zeichengröße auf 0%. Obwohl das eigentlich genügen sollte fügt er noch einigen CSS-Code hinzu. Ich vermute, dass er nicht wirklich weiß was er macht und einfach den Code per Cut and Paste von einer anderen Seite übernommen hat.
if(function_exists('get_footer'))add_filter('get_footer', 'wp_nofollow_me_awareness',10);
else add_action('wp_footer', 'wp_nofollow_me_awareness',10);
Erneut versucht er JavaScript auf der Seite zu platzieren. War einmal nicht genug? Schließlich muss Rahul noch den Plugin-Pfad korrigieren, da das Original-Plugin schlecht programmiert ist:
$gi = geoip_open(ABSPATH."wp-content/plugins/visitor-stats/geo_ip
/GeoLiteCity.dat",GEOIP_STANDARD);
Ich denke Rahul wird uns weiterhin mit neuen Ideen beschäftigen, mit denen er Leute auf seine Seite locken will. Ich werde Euch weiter informieren, falls ich auf neue versuchte Plugins stoße. Hoffentlich landen sie nicht wieder im offiziellen Verzeichnis. Die Leute würden das Vertrauen in das Verzeichnis und in WordPress als Ganzes verlieren.
Leider befindet sich auf den Plugin-Seiten kein Hinweis auf eine Kontaktperson, die man über solche Plugins informieren könnte. Vielleicht sollte sich eine Gruppe von Leuten zusammenfinden, die Plugins auf solche Betrügereien untersucht oder ein Art Virenscanner erstellt, der Plugins nach bekannten Betrugsseiten oder Code durchforstet. Freiwillige vor!
Nebenbei: Das Original-Plugin heißt “wp-visitors” (http://wordpress.org/extend/plugins/wp-visitors/).
Leave a Reply