Убираем хакерские ссылки

Опубликовано: 12.12.2009

Решил поискать на нескольких блогах на WordPress ссылки с display:none, оставленные хакерами. И нашел.

Чтобы все их найти и убрать придумал интересный способ. Для этого нужно войти в PHPMyAdmin.

Выбираем базу данных, в которой хранится вся информация блога. Далее выбираем таблицу вашпрефикс_posts.

Дальше начинается самое интересное – поиск постов с левыми ссылками.

Выбираем вкладку “поиск” и заполняем форму “Запрос по образцу” следующим образом: где поле post_content выбираем оператор LIKE %…%, а в поле “значение” пишем “display:”.
PHPMyAdmin

Нажимаем кнопку и получаем список постов со ссылками, оставленными взломщиком. Правда, могут попасться и нормальные посты, в которых рассказывается о таблицах стилей.

Наводим мышку на карандаш, нажимаем правую кнопку и открываем пост в новом окне, после чего редактируем.

Точно также можно повторить и со значением “visibility:”.

И даже синтаксиса языка SQL знать не обязательно ;) .

9SEO опубликовал очередной финстрип. Больше в блогосфере ничего интересного не заметил.

Комментариев — 28 »

  1. Евгений 13.12.2009 в 22:56

    А дизайн какой на тех сайтах был? Стандартный?

  2. [m.k] 14.12.2009 в 14:45

    Евгений, у одного полностью оригинальный, у второго сильно переделанный шаблон.

  3. Rudick 14.12.2009 в 22:15

    оО, не знал что через БД можно такие линки находить, спасибо за инфу.

  4. svinip 15.12.2009 в 16:21

    хлопотно, но пожалуй с ростом спама это весьма актуально, спасибо за полезный пост

  5. richkeeper 17.12.2009 в 1:17

    =-O Вот это вы закрутили. Не проще глянуть исходящие ссылки, через тот же PR-SY. У WP всего 3-7 страниц, остальный генерируемые. Так мне кажется проще, чем через БД смотреть.

  6. [m.k] 17.12.2009 в 9:56

    richkeeper, не проще. У тех блогов было не менее 200 постов. И в каждом можно спрятать ссылки.

  7. trinit 18.12.2009 в 13:59

    Надо бужет попробывать все то, что вы тут нам написали!

  8. SeoGot 19.12.2009 в 9:50

    Спасибо, очень полезно. Нашел то, что искал. Будем ссылки убирать…

  9. Лёха 20.12.2009 в 16:35

    Сенкс, способ полезный, буду юзать.

  10. Адвокат 24.12.2009 в 19:44

    Ого. Интересная инфа. А как вообще эти ссылки впихивают в базу данных?
    Это только в вордпрессе такая уязвимость? Как насчет друпала?

  11. eastbelle 24.12.2009 в 21:30

    текс… Нужно попробовать. Тем более кое какие знания SQL имеются :-D

  12. Инве 25.12.2009 в 19:22

    Окак. Надо будет проверить свой блог, а то постов дофига, внешних ссылок тоже, с учётом лёгкого “приторговывания” ссылками определить левые иным способом не представляется возможным. Спасибо.

  13. f1-speed 26.12.2009 в 19:23

    Есть плагин для вордпресса TAC называется, показывает все исходящие ссылки.

  14. Мистер-Х 4.01.2010 в 22:07

    Где то в рекомендациях самого гугля видел тулзину http://home.snafu.de/tilman/xenulink.html, для проверки битых ссылок на вашем сайте, тулзу проверил, реально вещь, так вот она бонусом показывает и все исходящие линки с вашего сайта, там все как на ладони видно, где ваши а где левые. Так что как минимум 2 причины взять ее на вооружение.

  15. [m.k] 5.01.2010 в 0:55

    Мистер-Х, это не то. Когда блоьше 200 постов проверять так каждый сложно. И помнить, на кого ссылался сам тоже сложно.

    А в моем способе все проще – злоумышленник прячет ссылки, чтобы автор не заметил и не удалил. И как раз ищется тот кусок кода, где скрытие и происходит.

  16. Renar 9.01.2010 в 14:13

    А как блоги взломали(я так понял речь идет именно о взломе). Можно ведь защитится от этого?

  17. [m.k] 9.01.2010 в 14:17

    Renar, не знаю каким способом, но явно через админку. Троян и дефейс – вряд ли.

    Версии вордпресса были устаревшие на тот момент.

    Кое-какие меры можно принять (об этом я писал тут: http://seo73.ru/2009/10/15/bezopasnost-v-wordpress/ ). Но 100%-ной гарантии это все равно не даст.

  18. Renar 9.01.2010 в 14:32

    Благодарю, это очень полезная информация. Я про права пользователя БД как-то даже не думал никогда. Подозреваю что таких беспечных много))

    В старых версиях wp была уязвимость которая позволяла получить зарегистрированному пользователю права администратора. Поэтому в виде дополнительной меры защиты регистрацию стоит отключать т.к. блогу регистрация обычно не нужно.
    Но это так, для тех кто еще не знает. =)

  19. Kaznet 22.01.2010 в 4:35

    Это такие ссылки в комментах оставляют или где?

  20. [m.k] 22.01.2010 в 12:09

    Kaznet, в самом посте. Хотя хорошая идея так же проверить комментарии.

  21. Kaznet 22.01.2010 в 12:23

    [m.k], ясно, спасибо за пост. Будем теперь выслеживать такие ссылки.

  22. Александр 30.01.2010 в 19:36

    Так это получается они взламывают и без спроса в админке лазиют!? =-O

  23. [m.k] 31.01.2010 в 16:15

    Александр, да.

  24. Дикова 7.02.2010 в 1:37

    Некоторые базу данных то с трудом ставят, а еще права выставлять :P

  25. Vlady 10.02.2010 в 17:29

    Часто так ссылки создатели шаблонов ныкают, недавно обнаружил на одном блоге такую.

  26. [m.k] 10.02.2010 в 19:15

    Vlady, это не в шаблоне а в базе данных

Оставьте комментарий к посту ”Убираем хакерские ссылки”

Разрешено использовать тэги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Трекбеки и пингбеки

Ключевые слова:
AdSense google page rank pr Sape SEO WordPress Блог Сапа Софт Яндекс акция ап апдейт бесплатно дача дизайн домен запросы индекс цитирования интернет комментарии компьютер конкурс продвижение реклама спам ссылки тИЦ эстафета