Questa guida riguarda un tipo di compromissione che crea testo giapponese generato automaticamente sul tuo sito, che chiamiamo compromissione con parole chiave giapponesi. È pensata per gli utenti di sistemi di gestione dei contenuti (CMS), ma la troverai utile anche se il tuo sito non utilizza un CMS.
Identificare questo tipo di compromissione
La compromissione con parole chiave giapponesi in genere crea nuove pagine con testo giapponese generato automaticamente sul tuo sito in nomi di directory generati casualmente (ad esempio, http://example.com/ltjmnjp/341.html). Queste pagine vengono monetizzate grazie a link di affiliazione a store che vendono merci contraffatte, quindi vengono visualizzate nella Ricerca Google. Ecco un esempio di come si presenta una di queste pagine:
Con questo tipo di compromissione, in genere l'hacker si aggiunge come proprietario della proprietà in Search Console per aumentare i profitti manipolando le impostazioni del sito, come il targeting geografico o le Sitemap. Se hai ricevuto una notifica che indica che qualcuno che non conosci ha verificato il tuo sito in Google Search Console, è molto probabile che il tuo sito sia stato compromesso.
Inizia controllando lo strumento
Problemi di sicurezza
in Search Console per vedere se Google ha rilevato una di queste pagine compromesse
sul tuo sito. A volte puoi scoprire pagine di questo tipo anche aprendo una finestra della Ricerca Google e digitando site:_your site url_, con l'URL di livello principale del tuo sito. In questo modo vedrai le pagine che Google ha indicizzato per il tuo sito, incluse le pagine compromesse. Scorri alcune pagine dei risultati di ricerca per vedere se noti URL insoliti. Se non vedi contenuti compromessi nella Ricerca Google, utilizza gli stessi termini di ricerca con un altro motore di ricerca. Ecco un esempio di come si presentano:
In genere, quando fai clic su un link a una pagina compromessa, vieni reindirizzato a un altro sito o vedi una pagina piena di contenuti senza senso. Tuttavia, potresti anche visualizzare un messaggio che indica che la pagina non esiste (ad esempio, un errore 404). Non farti ingannare. Gli hacker cercheranno di farti credere che la pagina sia stata rimossa o corretta, quando in realtà è ancora compromessa. Per farlo, utilizzano il cloaking dei contenuti. Verifica la presenza di cloaking inserendo gli URL del tuo sito nello strumento Controllo URL. Questo strumento ti consente di visualizzare i contenuti sottostanti nascosti.
Se riscontri questi problemi, è molto probabile che il tuo sito sia stato interessato da questo tipo di compromissione.
Correggere la compromissione
Prima di iniziare, crea una copia offline di tutti i file prima di rimuoverli, nel caso in cui dovessi ripristinarli in un secondo momento. Ancora meglio, esegui il backup dell'intero sito prima di iniziare la procedura di pulizia. Puoi farlo salvando tutti i file presenti sul server in una posizione esterna al server o cercando le opzioni di backup migliori per il tuo sistema di gestione dei contenuti (CMS). Se utilizzi un CMS, esegui anche il backup del database.
Rimuovere gli account di nuova creazione da Search Console
Se al tuo account Search Console è stato aggiunto un nuovo proprietario che non riconosci, revoca il suo accesso il prima possibile. Puoi controllare quali utenti sono verificati per il tuo sito sulla pagina di verifica di Search Console. Fai clic su "Dettagli della verifica" per il sito per visualizzare tutti gli utenti verificati.
Per rimuovere un proprietario da Search Console, consulta la sezione Rimuovere il proprietario
del
Centro assistenza Gestire utenti, proprietari e autorizzazioni.
Dovrai rimuovere il token di verifica associato, che in genere è un file HTML nella root del sito o un file .htaccess generato dinamicamente che imita un file HTML.
Se non riesci a trovare un token di verifica HTML sul tuo sito, controlla se è presente una regola di riscrittura nel file .htaccess. La regola di riscrittura sarà simile a questa:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Per rimuovere il token di verifica generato dinamicamente dal file .htaccess:
Controllare il file .htaccess (2 passaggi)
Oltre a utilizzare un file .htaccess per creare token di verifica generati dinamicamente, gli hacker spesso utilizzano le regole .htaccess per reindirizzare gli utenti o creare pagine contenenti spam senza senso. A meno che tu non abbia regole .htaccess personalizzate, valuta la possibilità di sostituire il file .htaccess con una copia completamente nuova.
Passaggio 1
Individua il file .htaccess sul tuo sito. Se non sai dove trovarlo e utilizzi un CMS come WordPress, Joomla o Drupal, cerca "posizione del file .htaccess" in un motore di ricerca insieme al nome del tuo CMS.
A seconda del sito, potresti visualizzare più file .htaccess.
Crea un elenco di tutte le posizioni dei file .htaccess.
Passaggio 2
Sostituisci tutti i file .htaccess con una versione pulita o predefinita del file .htaccess. In genere, puoi trovare una versione predefinita di un file .htaccess cercando "file .htaccess predefinito" e il nome del tuo CMS. Per i siti con più file .htaccess, trova una versione pulita di ciascuno e sostituiscili.
Se non esiste un file .htaccess predefinito e non hai mai configurato un file .htaccess sul tuo sito, è probabile che il file .htaccess che trovi sul tuo sito sia dannoso. Salva una copia dei file .htaccess offline per sicurezza ed elimina il file .htaccess dal tuo sito.
Rimuovere tutti gli script e i file dannosi (4 passaggi)
L'identificazione dei file dannosi può essere difficile e richiedere molto tempo. Prenditi il tempo necessario per controllare i file. Se non l'hai ancora fatto, è un buon momento per eseguire il backup dei file sul tuo sito. Esegui una Ricerca Google con "backup del sito" e il nome del tuo CMS per trovare le istruzioni su come eseguire il backup del sito.
Passaggio 1
Se utilizzi un CMS, reinstalla tutti i file principali (predefiniti) inclusi nella distribuzione predefinita del CMS, nonché tutti gli elementi che hai aggiunto (ad esempio temi, moduli o plug-in). In questo modo, questi file non contengono contenuti compromessi. Puoi eseguire una Ricerca Google con "reinstallare" e il nome del tuo CMS per trovare le istruzioni di reinstallazione. Se hai plug-in, moduli, estensioni o temi, assicurati di reinstallarli.
Passaggio 2
Gli hacker spesso modificano la Sitemap o aggiungono nuove Sitemap per indicizzare più rapidamente i loro URL. Se in precedenza avevi un file Sitemap, controlla se contiene link sospetti e rimuovili. Se sono presenti file Sitemap che non ricordi di aver aggiunto al tuo sito, esaminali. Rimuovi il file se contiene solo URL contenenti spam.
Passaggio 3
Cerca altri file dannosi o compromessi. Potresti aver già rimosso tutti i file dannosi nei due passaggi precedenti, ma è meglio seguire i prossimi passaggi nel caso in cui sul tuo sito siano presenti altri file compromessi.
Non farti prendere dal panico pensando di dover aprire ed esaminare ogni file PHP. Inizia creando un elenco di file PHP sospetti che vuoi esaminare. Ecco alcuni modi per determinare quali file PHP sono sospetti:
- Se hai già ricaricato i file del CMS, esamina solo i file che non fanno parte dei file o delle cartelle CMS predefiniti. In questo modo, dovresti escludere molti file PHP e rimanere con una manciata di file da esaminare.
- Ordina i file presenti sul sito in base alla data dell'ultima modifica. Cerca i file modificati entro pochi mesi dalla prima scoperta della compromissione del sito.
- Ordina i file presenti sul sito in base alle dimensioni. Cerca i file di dimensioni insolitamente grandi.
Passaggio 4
Una volta creato un elenco di file PHP sospetti, controlla se contengono contenuti dannosi. Se non hai familiarità con PHP, questa procedura potrebbe richiedere più tempo, quindi ti consigliamo di ripassare un po' di documentazione PHP. Se non hai mai programmato, ti consigliamo di rivolgerti a uno sviluppatore esperto. Nel frattempo, puoi cercare alcuni pattern di base per identificare i file dannosi.
Se utilizzi un CMS e non hai l'abitudine di modificare direttamente i file PHP, confronta i file sul server con un elenco dei file predefiniti inclusi nel CMS e in tutti i plug-in e temi. Cerca i file che non appartengono al sito, nonché i file più grandi della versione predefinita.
Scansiona i file sospetti che hai già identificato per cercare blocchi di codice offuscato. Potrebbe trattarsi di una combinazione di lettere e numeri apparentemente confusi, in genere preceduta da una combinazione di funzioni PHP come base64_decode, rot13, eval, strrev o gzinflate. Ecco un esempio di come potrebbe apparire il blocco di codice. A volte, tutto questo codice viene inserito in una lunga riga di testo, facendolo sembrare più piccolo di quanto non sia in realtà.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Verificare se il sito è pulito
Una volta eliminati i file compromessi, controlla se il tuo duro lavoro ha dato i suoi frutti. Ricordi le pagine senza senso che hai identificato in precedenza? Utilizza di nuovo lo strumento Visualizza come Google per vedere se esistono ancora.
Se rispondono come "Non trovato" in Visualizza come Google, è probabile che tu sia in una situazione abbastanza buona e che tu possa passare alla correzione delle vulnerabilità del tuo sito.
Come faccio a evitare future compromissioni?
La correzione delle vulnerabilità del tuo sito è un passaggio finale essenziale per la correzione del sito. Uno studio recente ha rilevato che il 20% dei siti compromessi viene compromesso di nuovo entro un giorno. È quindi utile sapere esattamente come è stato compromesso il tuo sito. Leggi la nostra guida sui modi principali in cui i siti web vengono compromessi dagli spammer per iniziare la tua indagine. Se non riesci a capire come è stato compromesso il tuo sito, segui questa checklist per ridurre le vulnerabilità del tuo sito.
- Esegui regolarmente la scansione del computer: utilizza un software antivirus diffuso per verificare la presenza di virus o vulnerabilità.
- Modifica regolarmente le password: la modifica regolare delle password di tutti gli account del tuo sito web, come il provider di hosting, FTP e CMS, può impedire l'accesso non autorizzato al tuo sito. È importante creare una password complessa e univoca per ogni account.
- Utilizza la verifica in due passaggi (2SV): valuta la possibilità di attivare la 2SV su qualsiasi servizio che richieda l'accesso. In questo modo, gli hacker avranno più difficoltà ad accedere, anche se riescono a rubare la tua password.
- Aggiorna regolarmente il CMS, i plug-in, le estensioni e i moduli: speriamo che tu abbia già eseguito questo passaggio. Molti siti vengono compromessi perché utilizzano software obsoleti. In alcuni sistemi di gestione dei contenuti è supportato l'aggiornamento automatico.
- Valuta la possibilità di abbonarti a un servizio di sicurezza per monitorare il tuo sito: sono disponibili molti servizi che possono aiutarti a monitorare il tuo sito a un costo ridotto. Per mantenere sicuro il tuo sito, valuta se registrarti a tali servizi.
Risorse aggiuntive
Se hai ancora difficoltà a correggere il tuo sito, ci sono altre risorse che potrebbero esserti utili.
Questi strumenti analizzano i siti e potrebbero riuscire a rilevare contenuti problematici. Google non li esegue e non li supporta, ad eccezione dello strumento VirusTotal.
Questi sono solo alcuni strumenti che potrebbero essere in grado di eseguire la scansione del tuo sito alla ricerca di contenuti problematici. Tieni presente che questi scanner non possono garantire l'identificazione di ogni tipo di contenuto problematico.
Ecco alcune risorse aggiuntive di Google che potrebbero essere utili: