Corrigir a invasão de palavras-chave japonesas

Este guia foi criado especificamente para um tipo de invasão que cria texto em japonês gerado automaticamente no seu site, que chamaremos de Truque de palavras-chave japonesas. Ele foi criado para usuários de aplicativos Sistemas de gerenciamento de conteúdo (CMSs), mas este guia será útil mesmo se você não usar um CMS.

Queremos que este guia seja realmente útil para você. Enviar feedback para nos ajudar a melhorar.

Identifique esse tipo de invasão

A invasão de palavras-chave japonesas normalmente cria novas páginas com palavras-chave Texto em japonês no seu site em nomes de diretórios gerados aleatoriamente Por exemplo, http://example.com/ltjmnjp/341.html. Essas páginas são monetizou usando links afiliados para lojas que vendem mercadorias de marcas falsas e exibidos na Pesquisa Google. Veja um exemplo de como é uma dessas páginas:

Um exemplo de uma página com uma invasão de palavras-chave japonesas.
Uma página de texto gerada pela invasão de palavras-chave japonesas.

Nesse tipo de invasão, o hacker normalmente se adiciona como uma propriedade proprietário no Search Console, para aumentar os lucros manipulando as propriedades configurações específicas, como segmentação geográfica ou sitemaps. Se você recebeu uma notificação informando que alguém que não conhece verificou seu site no Search Console, há uma grande possibilidade de que seu site tenha sido invadido.

Comece verificando a Problemas de segurança ferramenta no Search Console para ver se o Google descobriu alguma dessas páginas invadidas no seu site. Às vezes, você também pode descobrir páginas como esta abrindo um Janela de pesquisa e digite site:_your site url_, com o URL no nível raiz de seu site. Isso mostrará as páginas que o Google indexou para seu site, incluindo as páginas invadidas. Confira algumas páginas dos resultados da pesquisa para veja se você consegue identificar URLs incomuns. Caso você não encontre conteúdo invadido no Google Pesquise usando os mesmos termos em um mecanismo de pesquisa diferente. Este é um exemplo de como isso seria:

Um exemplo de site invadido na Pesquisa.
As páginas invadidas aparecem nos resultados da Pesquisa Google.
.

Normalmente, ao clicar em um link para uma página invadida, você será redirecionadas para outro site ou veem uma página cheia de conteúdo sem sentido. No entanto, também poderá ver uma mensagem sugerindo que a página não existe (por exemplo, um erro 404). Não se deixe enganar! Os hackers tentarão induzir você a pensar que a página desapareceu ou foi corrigida, mas ainda foi invadida. Eles fazem isso técnicas de cloaking conteúdo. Verifique se há técnicas de cloaking inserindo os URLs do site na caixa Ferramenta de inspeção de URL. A ferramenta Buscar como o Google permite que você veja o conteúdo oculto subjacente.

Se você encontrar esses problemas, isso significa que seu site provavelmente foi afetado por esse tipo de invadir.

Corrigir a invasão

Antes de começar, faça uma cópia off-line dos arquivos antes de removê-los. caso precise restaurá-los mais tarde. Melhor ainda, faça backup do site inteiro antes antes de iniciar o processo de limpeza. É possível fazer isso salvando todos os arquivos no seu servidor para um local fora dele ou procurando o melhor backup do seu CMS (sistema de gerenciamento de conteúdo). Se você estiver usando um CMS, também fazem backup do banco de dados.

Remover as novas contas criadas no Search Console

Se um novo proprietário que você não reconhecer tiver sido adicionado ao Search Console revogue o acesso assim que possível. É possível verificar quais usuários foram verificadas para o seu site na Página de verificação do Search Console. Clique em "Detalhes da verificação" do site para ver todos os usuários verificados.

Para remover um proprietário do Search Console, consulte a seção "Remover proprietário" do Central de Ajuda para gerenciar usuários, proprietários e permissões. Você precisará remover o token de verificação associado, que normalmente é um arquivo HTML na raiz do seu site ou um arquivo Arquivo .htaccess que imita um arquivo HTML.

Se você não conseguir encontrar um token de verificação HTML em seu site, verifique se há uma regravação no arquivo .htaccess. A regra de regravação será semelhante a esta:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Para remover o token de verificação gerado dinamicamente do .htaccess , siga estas etapas:

Verificar o arquivo .htaccess (2 etapas)

Além de usar um arquivo .htaccess para criar verificações geradas dinamicamente os hackers costumam usar regras .htaccess para redirecionar usuários ou criar páginas com spam sem sentido. A menos que você tenha regras .htaccess personalizadas, considere substituindo .htaccess por uma cópia completamente nova.

Etapa 1

Localize o arquivo .htaccess no seu site. Se você não souber onde encontrar e estiver usando um CMS (sistema de gerenciamento de conteúdo) como WordPress, Joomla ou Drupal, pesquise "local do arquivo .htaccess" em um mecanismo de pesquisa junto com o nome do CMS. Dependendo do site, você poderá ver vários arquivos .htaccess. Faça uma lista dos .htaccess locais dos arquivos.

Etapa 2

Substitua todos os arquivos .htaccess por uma versão limpa ou padrão de .htaccess . Geralmente, para encontrar a versão padrão de um arquivo .htaccess, pesquise para "arquivo .htaccess padrão" e o nome do seu CMS. Para sites com várias .htaccess, encontre uma versão limpa de cada um e substitua-os.

Se não houver uma .htaccess padrão e você nunca tiver configurado uma .htaccess no seu site, o arquivo .htaccess encontrado provavelmente está maliciosos. Salve uma cópia dos arquivos .htaccess off-line apenas por precaução e exclua o arquivo .htaccess do seu site.

Remover todos os arquivos e scripts maliciosos (4 etapas)

A identificação de arquivos maliciosos pode ser complicada e demorada. Pegue seu momento ao verificar seus arquivos. Este é um bom momento para voltar, caso ainda não tenha feito isso os arquivos no seu site. Pesquise "backup do site" no Google e o nome seu CMS para encontrar instruções sobre como fazer backup do site.

Etapa 1

Se você usar um CMS, reinstale todos os arquivos principais (padrão) que vêm no a distribuição padrão do CMS, além de tudo o que você adicionou (como temas, módulos ou plug-ins). Isso ajuda a garantir que esses arquivos estejam conteúdo invadido. Você pode pesquisar "reinstalar" no Google e o nome do CMS para encontrar instruções de reinstalação. Se você tiver plug-ins, módulos, extensões reinstale-os também.

Etapa 2

Os hackers muitas vezes modificam seu sitemap ou adicionam um novo para ajudar a obter URLs indexados mais rapidamente. Se você já tem um arquivo de sitemap, verifique-o em busca de links suspeitos e remova-os do sitemap. Se houver de arquivos de sitemap que você não se lembra de ter adicionado ao site, verifique remova-os se tiverem somente URLs com spam.

Etapa 3

Procure outros arquivos maliciosos ou comprometidos. Talvez você já tenha removeu todos os arquivos maliciosos nas duas etapas anteriores, mas é melhor trabalhar seguindo as próximas etapas, caso haja mais arquivos no site que tenham foi comprometido.

Não se preocupe pensando que você precisa abrir e analisar todas arquivo PHP. Comece criando uma lista de arquivos PHP suspeitos que você deseja investigar. Aqui estão algumas maneiras de determinar quais arquivos PHP são suspeitos:

  • Se você já atualizou os arquivos do CMS, verifique somente os arquivos que não fazem parte dos arquivos ou pastas padrão do CMS. Isso eliminará muitos arquivos PHP e deixar alguns arquivos para você analisar.
  • Classifique os arquivos do site por data da última modificação. Procure que foram modificados alguns meses depois que você descobriu que seu site foi invadido.
  • Classifique os arquivos do site por tamanho. Procure os arquivos muito grandes.
.

Etapa 4

Assim que você tiver uma lista de arquivos PHP suspeitos, verifique se eles contêm conteúdo malicioso. Se você não estiver familiarizado com PHP, esse processo pode ser mais demorado, Por isso, recomendamos consultar a documentação sobre o PHP. Se você não tem muito conhecimento sobre programação, recomendamos receber ajuda. Enquanto isso, existem alguns padrões básicos que você pode procurar para identificar de arquivos maliciosos.

Se você usa um CMS e não tem o hábito de editar seus arquivos PHP diretamente, compare os arquivos em seu servidor com uma lista de arquivos padrão empacotados com o CMS e os plug-ins e temas. Procure por arquivos que não pertençam que são maiores do que a versão padrão.

Analise os arquivos suspeitos que você já identificou para procurar bloqueios de código ofuscado. Isso pode parecer uma combinação de elementos aparentemente desordenados letras e números, geralmente precedidos por uma combinação de funções PHP como base64_decode, rot13, eval, strrev ou gzinflate. Aqui está um exemplo como o bloco de código pode ser. Às vezes, todo esse código será recheado em uma longa linha de texto, fazendo com que pareça menor do que realmente é.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Verificar se o site está limpo

Quando terminar de remover os arquivos invadidos, verifique se o trabalho que valeu a pena. Lembra das páginas sem sentido identificadas anteriormente? Use o botão como ferramenta do Google novamente para ver se elas ainda existem. Se a resposta for "Não encontrado" no Buscar como o Google, é provável que você boa forma e você pode prosseguir e corrigir as vulnerabilidades em seu site.

Como evitar ser invadido novamente?

A correção de vulnerabilidades no site é uma etapa final essencial para a correção do site. Um estudo recente descobriu que 20% dos sites invadidos são invadidos novamente dentro de um dia. É importante saber exatamente como o site foi invadido. Leia nossa formas mais comuns de invasão de sites por criadores de spam guia para iniciar sua investigação. No entanto, se você não conseguir descobrir como seu site foi invadido, a seguir está uma lista de coisas que você pode fazer para e reduzir as vulnerabilidades do seu site.

  • Faça uma varredura regularmente no computador: use um programa antivírus confiável para verificar quanto a vírus ou vulnerabilidades.
  • Troque suas senhas regularmente: troque as senhas regularmente por todas as contas do seu site, como provedor de hospedagem, FTP e CMS, podem impedir o acesso não autorizado ao seu site. É importante criar uma senha exclusiva para cada conta.
  • Use Autenticação de dois fatores (2FA): Ative a autenticação de dois fatores em todos os serviços que exigem login. FA dificulta o login de hackers, mesmo que eles consigam roubar sua senha.
  • Atualize regularmente o CMS, plug-ins, extensões e módulos: Esperamos que você já tenha feito esta etapa. Muitos sites são invadidos porque se eles executarem softwares desatualizados. Alguns CMSs são compatíveis com a atualização automática.
  • Considere se inscrever em um serviço de segurança para monitorar o site: Há muitos serviços excelentes por aí que podem ajudá-lo a monitorar seu por uma pequena taxa. Recomendamos que você faça registro em um deles para manter o site seguro.

Outros recursos

Se você ainda estiver com problemas para corrigir seu site, existem mais algumas dicas recursos que podem ajudar.

Estas ferramentas fazem a varredura do site e podem encontrar conteúdos problemáticos. O Google não desenvolve nem oferece suporte para elas, a não ser a VirusTotal.

Estas são apenas algumas ferramentas capazes de verificar se há problemas no seu site conteúdo. Lembre-se de que esses scanners não garantem identificar todos os tipos de conteúdo problemático.

Veja outros recursos do Google que podem ajudar você:

.