Há algum tempo criei um blog para meu grande amigo Marcelo, onde ele escrevia sobre Reiki, com o criativo nome de “Rei Ki“.
Por acaso vi uma mensagem no Google Webmasters entitulada: “Notice of Suspected Hacking on http://sjdr.com.br/” que me deixou deveras preocupado.
Dear owner or webmaster of http://sjdr.com.br/,
We are writing to let you know that some pages from http://sjdr.com.br/ will be labeled as potentially compromised in our search results. This is because some of your pages contain content which may harm the quality and relevance of our search results. It appears that these pages were created or modified by a third party, who may have hacked all or part of your site. Many times, they will upload files or modify existing ones, which then show up as spam in our index.
The following are some example URLs which exhibit this behavior:
- http://caminhantes.sjdr.com.br/pqo-walgreens-printable-pharmacy-coupons.htm
- http://reiki.sjdr.com.br/owl-0293-oosl.htm
O pior é que as URLs realmente existiam, cheias de spam, ou seja, o blog foi realmente hackeado.
Acessei o blog via FTP e não achei os arquivos, então dei uma olhada no .htaccess e encontrei a artimanha:
RewriteEngine On
RewriteRule owl-(.*).htm$ wp-content/plugins/swift-smtp/Swift/lib/Swift/Authenticator/PopB4Smtp/_notes/style.css.php [L]
Ou seja, qualquer arquivo “owl-*.htm” seria redirecionado para um script dentro da pasta do plugin swif-smtp. Provavelmente esse script tinha algum bug e foi através dele que o blog do Marcelo foi invadido.
Apaguei todos os arquivos do blog, atualizei o WordPress, plugins e tema nas últimas versões e excluí o nefasto swif-smtp.
O pior de tudo é que o blog foi invadido em 16 de Março (data de criação dos scripts hackeados), o Google descubriu em apenas 10 dias, me mandou uma mensagem avisando e só dia 16 de Junho, 90 dias depois, eu percebi…
0 Comentários.