martes, octubre 07, 2014

Black SEO, Cloaking, Viagra y Google Index Retriever

Las Técnicas de Cloaking son utilizadas en la industria del fraude online dedicada al Black SEO para ocultar a los usuarios los contenidos inyectados en una web infectada. La idea es que se infecta un servidor web con contenido para robar el SEO de un sitio y se oculta para que solo sea mostrado a las arañas de búsqueda, haciendo mucho más complicado para un administrador localizar la infección de su sitio web. La única forma de localizar que se está infectado, es hacerlo usando Google para saber si estás "jodido por la viagra".

Para ocultar los contenidos y mostrárselos solo a Google o a los visitantes que vienen desde Google se pueden utilizar varias Técnicas de Cloaking. La primera de ellas es detectar el USER-AGENT utilizado por los bots de los buscadores, la segunda el campo HTTP-Referer para saber que es un visitante que viene desde un buscador en concreto, y la tercera y última, ocultar el contenido inyectado si no viene por una de las direcciones IP que utilizan los bots

Figura 2: Lista de direcciones IP usadas por los bots

Preparando la charla de No me indexes que me cacheo, salió un ejemplo con el equipo de fútbol de la ciudad, ya que el Albacete Balompié está infectado por Técnicas de Black SEO de viagra que parece que están usando cloaking para ocultar la inyección. Si buscamos por "viagra" o por "cheap viagra" aparecen resultados en el índice de Google con ellos.

Figura 3: Resultados del Albacete Balompié infectados con Black SEO

Si vamos a las noticias infectadas, podemos ver que no hay ninguna referencia a la viagra en el contenido de la web, ni en el código fuente, ni en los ficheros incluidos, así que o la infección se limpió o se está haciendo Cloacking por IP o por USER-Agent, ya que por HTTP-Referer quedaría descartado al no aparecer cuando haces clic en el enlace para visitar la página desde los resultados de Google.

Figura 4: La noticia parece limpia cuando se visita

Probando con USER-Agent Switcher en Firefox para probar una conexión con el nombre del bot de Google tampoco muestra nada, así que las alternativas que nos quedarían sería que la infección usara cloaking por IP de conexión o que ya estuviera limpia.

Figura 5: User Agent del Bot de Google

No obstante, con Google Index Retriever - que pronto estará publicada - se puede extraer por un ataque de palabras que aparecen en los resultados más un ataque de diccionario, una gran parte del contenido inyectado en el índice de Google.

Figura 6: Gestión de keywords en Google Index Retriever

La herramienta primero prueba con las palabras que van saliendo en los resultados, luego las combina para intentar sacar más resultados, y por último prueba con un diccionario de keywords que puede ser configurado.

Figura 7: Volcado de contenido de índice de Google asociado a uno de los resultados

Al final el resultado es que se consigue sacar bastante información de la almacenada y, en este caso, se puede ver la URL del sitio web detrás del ataque de BlackSEO al Albacete Balompié. Si se visita la web, por supuesto, aparece uno de los famosos doctores de la viagra.

Figura 8: Web que está robando el SEO al Albacete Balompié

En este caso, si el Albacete Balompié ha limpiado la inyección en su servidor web, sigue aún infectado en el índice de Google, así que debería tomar medidas para evitar esto.

Saludos Malignos!

5 comentarios:

  1. Primero: Gracias, gracias y mil gracias por compartir tus conocimientos.
    Segundo: tengo una preguntilla. ¿Cómo se produce esa “infección” con código inyectado, y que tipo de rastro deja quien te ha inyectado?
    Gracias nuevamente
    Juan Carlos

    ResponderEliminar
  2. Chema parece ser que it-rechtsanwalt.at del Alemán: Abogado especializado en la rama de informática. Tiene un problema más gordo que el equipo de albacete. No creo por como está estructurada su página que ese sea un producto de los que ofrece ;)

    ResponderEliminar
  3. @Anónimo, esa es la gracia de la red de BlackSEO. Se linkan unos a otros para conseguir el posicionamiento, pero siempre en webs hackeadas }:)

    Saludos!

    ResponderEliminar
  4. This is an excellent post on BlackHat SEO. I would like to see it posted in English.

    An additional technique that I am running into more and more is for the hack to check cookies. If the real site sets a certain cookie the hack checks for it and returns a 404 rather than the hacked content.

    ResponderEliminar
  5. Uff excelente articulo de seo me encanto y mas todo lo que explicas de posicionamiento seo te admiro hermano sigue asi

    ResponderEliminar