Risolvere la compromissione con contenuti senza senso

Questa guida è stata creata specificamente per un tipo di compromissione che aggiunge al tuo sito pagine con testo incomprensibile contenenti molte parole chiave, che chiameremo compromissione con testo incomprensibile. È rivolta agli utenti dei più diffusi sistemi di gestione dei contenuti (CMS), ma sarà utile anche se non utilizzi un CMS.

Vogliamo assicurarci che questa guida ti sia davvero utile. Lascia un feedback per aiutarci a migliorare.

Identificare questo tipo di attacco

La compromissione con contenuti senza senso crea automaticamente sul tuo sito molte pagine con frasi senza senso e numerose parole chiave. Si tratta di pagine che non hai creato, ma che hanno URL che potrebbero indurre gli utenti a fare clic. In questo modo, gli hacker fanno sì che le pagine compromesse vengano visualizzate nella Ricerca Google. Se gli utenti cercano di visitare queste pagine, vengono reindirizzati a una pagina non correlata. Gli hacker guadagnano quando le persone visitano queste pagine non correlate. Ecco alcuni esempi di tipi di file che potresti visualizzare su un sito interessato dall'attacco di gibberish:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

A volte vengono visualizzati in una cartella composta da caratteri casuali e utilizzano lingue diverse:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Per prima cosa, controlla lo strumento Problemi di sicurezza in Search Console per verificare se Google ha rilevato una di queste pagine compromesse sul tuo sito. A volte puoi trovare pagine come questa anche aprendo una finestra della Ricerca Google e digitando site:_your site url_, con l'URL a livello di radice del tuo sito. Verranno visualizzate le pagine indicizzate da Google per il tuo sito, incluse quelle compromesse. Sfoglia un paio di pagine dei risultati di ricerca per vedere se noti URL insoliti. Se non visualizzi contenuti compromessi nella Ricerca Google, utilizza gli stessi termini di ricerca con un altro motore di ricerca. Ecco un esempio di come potrebbe essere:

Risultati di ricerca che mostrano pagine di questo hack.
Le pagine compromesse vengono visualizzate nei risultati della Ricerca Google.

In genere, quando fai clic su un link a una pagina compromessa, viene visualizzato un messaggio di reindirizzamento a un altro sito o una pagina piena di contenuti incomprensibili. Tuttavia, potresti anche visualizzare un messaggio che indica che la pagina non esiste (ad esempio, un errore 404). Non farti ingannare. Gli hacker cercheranno di indurti a credere che la pagina non sia più disponibile o che sia stata riparata, quando in realtà è ancora compromessa. Per farlo, nascondono i contenuti. Per verificare la presenza di cloaking, inserisci gli URL del tuo sito nello strumento Controllo URL. Lo strumento Visualizza come Google ti consente di vedere i contenuti nascosti sottostanti.

Se riscontri questi problemi, è molto probabile che il tuo sito sia stato interessato da questo tipo di pirateria informatica.

Correggere l'hack

Prima di iniziare, crea una copia offline di tutti i file prima di rimuoverli, nel caso in cui tu debba ripristinarli in un secondo momento. Ancora meglio, esegui il backup dell'intero sito prima di avviare la procedura di pulizia. A tal fine, puoi salvare tutti i file sul tuo server in una posizione esterna al server o cercare le migliori opzioni di backup per il tuo sistema di gestione dei contenuti (CMS). Se utilizzi un CMS, esegui anche il backup del database.

Controlla il file .htaccess (2 passaggi)

L'hack di caratteri incomprensibili reindirizza i visitatori dal tuo sito utilizzando il file .htaccess.

Passaggio 1

Individua il file .htaccess sul tuo sito. Se non sai dove trovarlo e utilizzi un CMS come WordPress, Joomla o Drupal, cerca "posizione del file .htaccess" in un motore di ricerca insieme al nome del tuo CMS. A seconda del sito, potresti visualizzare più file .htaccess. Crea un elenco di tutte le posizioni dei file .htaccess.

Passaggio 2

Sostituisci tutti i file .htaccess con una versione pulita o predefinita del file .htaccess. In genere puoi trovare una versione predefinita di un file .htaccess cercando "file .htaccess predefinito" e il nome del tuo CMS. Per i siti con più file .htaccess, trova una versione pulita di ciascuno e sostituiscili.

Se non esiste un .htaccess predefinito e non hai mai configurato un file .htaccess sul tuo sito, il file .htaccess che trovi sul tuo sito è probabilmente dannoso. Salva una copia dei file .htaccess offline per sicurezza ed elimina il file .htaccess dal tuo sito.

Trovare ed eliminare altri file dannosi (5 passaggi)

Identificare i file dannosi può essere complicato e richiedere molto tempo. Prenditi il tuo tempo quando controlli i file. Se non l'hai ancora fatto, è un buon momento per eseguire il backup dei file sul tuo sito. Cerca su Google "Esegui il backup del sito" e il nome del tuo CMS per trovare le istruzioni su come eseguire il backup del sito.

Passaggio 1

Se utilizzi un CMS, reinstalla tutti i file di base (predefiniti) inclusi nella distribuzione predefinita del tuo CMS, nonché tutto ciò che potresti aver aggiunto (ad esempio temi, moduli, plug-in). In questo modo, puoi assicurarti che questi file non contengano contenuti compromessi. Puoi eseguire una ricerca su Google per "reinstalla" e il nome del tuo CMS per trovare le istruzioni di reinstallazione. Se hai plug-in, moduli, estensioni o temi, assicurati di reinstallarli.

Passaggio 2

Ora devi cercare eventuali file dannosi o compromessi rimanenti. Questa è la parte più difficile e dispendiosa in termini di tempo della procedura, ma dopodiché hai quasi finito.

Questo tipo di attacco lascia in genere due tipi di file: file .txt e file .php. I file .txt sono file di modello e i file .php determinano il tipo di contenuti senza senso da caricare sul tuo sito.

Inizia cercando i file .txt. A seconda di come ti colleghi al tuo sito, dovresti vedere un tipo di funzionalità di ricerca per i file. Cerca ".txt" per visualizzare tutti i file con estensione .txt. La maggior parte di questi sarà costituita da file legittimi come contratti di licenza o file readme. Stai cercando un insieme di file .txt contenenti codice HTML utilizzato per creare modelli di spam. Di seguito sono riportati snippet di diversi frammenti di codice che potresti trovare in questi file.txt dannosi.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Gli hacker creano pagine contenenti spam attraverso la sostituzione delle parole chiave. Molto probabilmente vedrai una parola generica che può essere sostituita nel file compromesso.

Inoltre, la maggior parte di questi file contiene un tipo di codice che posiziona i link e il testo spam al di fuori della pagina visibile.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Rimuovi questi file .txt. Se si trovano tutti nella stessa cartella, rimuovi l'intera cartella.

Passaggio 3

I file PHP dannosi sono più difficili da rintracciare. Sul tuo sito potrebbero essere presenti uno o più file PHP dannosi. Potrebbero essere tutti contenuti nella stessa sottodirectory o sparsi nel tuo sito.

Non pensare che sia necessario aprire e esaminare ogni file PHP. Per prima cosa, crea un elenco di file PHP sospetti che vuoi esaminare. Ecco alcuni modi per determinare quali file PHP sono sospetti:

  • Poiché hai già ricaricato i file del CMS, controlla solo i file che non fanno parte delle cartelle o dei file del CMS predefiniti. In questo modo dovresti eliminare un gran numero di file PHP e avere solo una manciata di file da esaminare.
  • Ordina i file presenti sul sito in base alla data dell'ultima modifica. Cerca i file che sono stati modificati entro pochi mesi dalla prima volta che hai scoperto che il tuo sito è stato compromesso.
  • Ordina i file presenti sul sito in base alle dimensioni. Cerca i file di dimensioni insolitamente grandi.

Passaggio 4

Una volta ottenuto un elenco di file PHP sospetti, controlla se sono dannosi. Se non hai dimestichezza con PHP, questa procedura potrebbe richiedere più tempo, quindi consulta la documentazione PHP. Se non hai mai scritto codice, ti consigliamo di richiedere assistenza. Nel frattempo, esistono alcuni schemi di base che puoi cercare per identificare i file dannosi.

Se utilizzi un CMS e non hai l'abitudine di modificare direttamente questi file, confronta i file sul tuo server con un elenco dei file predefiniti pacchettizzati con il CMS e eventuali plug-in e temi. Cerca i file che non appartengono alla raccolta, nonché quelli più grandi della versione predefinita.

Innanzitutto, scansiona i file sospetti che hai già identificato per cercare grandi blocchi di testo con una combinazione di lettere e numeri apparentemente confusi. Il grande blocco di testo è solitamente preceduto da una combinazione di funzioni PHP come base64_decode, rot13, eval, strrev o gzinflate. Ecco un esempio di come potrebbe essere il blocco di codice. A volte tutto questo codice viene inserito in una lunga riga di testo, che sembra più piccola di quanto non sia in realtà.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode
(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"
));

A volte il codice non è confuso e sembra un normale script. Se non hai la certezza che il codice sia errato, visita la nostra community di assistenza di Google Search Central, dove un gruppo di webmaster esperti può aiutarti a esaminare i file.

Passaggio 5

Ora che sai quali file sono sospetti, crea un backup o una copia locale salvandoli sul tuo computer, nel caso in cui uno dei file non sia dannoso, e poi elimina i file sospetti dal tuo sito.

Verificare se il sito è pulito

Una volta rimossi i file compromessi, controlla se il tuo duro lavoro è stato ripagato. Ricordi le pagine incomprensibili che hai identificato in precedenza? Utilizza di nuovo lo strumento Recupera come Google per verificare se esistono ancora. Se la risposta è "Non trovato" in Recupera come Google, è probabile che tu stia abbastanza bene e possa procedere alla correzione delle vulnerabilità sul tuo sito.

Come faccio a evitare future compromissioni?

La correzione delle vulnerabilità sul tuo sito è un passaggio finale essenziale per la correzione del sito. Uno studio recente ha rilevato che il 20% dei siti compromessi viene nuovamente compromesso entro un giorno. È quindi utile sapere esattamente come è stato compromesso il tuo sito. Per iniziare la tua indagine, consulta la nostra guida sulle principali modalità di compromissione dei siti web da parte degli spammer. Tuttavia, se non riesci a capire in che modo il tuo sito è stato compromesso, di seguito è riportata una lista di controllo delle azioni che puoi intraprendere per ridurre le vulnerabilità sul tuo sito:

  • Esegui regolarmente la scansione del computer: utilizza uno scanner di virus di uso comune per verificare la presenza di virus o vulnerabilità.
  • Cambia regolarmente le password:cambiare regolarmente le password di tutti gli account del tuo sito web, come il provider di hosting, l'FTP e il CMS, può impedire l'accesso non autorizzato al tuo sito. È importante creare una password efficace e univoca per ogni account.
  • Utilizza l'autenticazione a due fattori (2FA): valuta la possibilità di attivare l'autenticazione a due fattori su qualsiasi servizio che richiede l'accesso. La verifica in due passaggi rende più difficile per gli hacker accedere anche se riescono a rubare la tua password.
  • Aggiorna regolarmente il CMS, i plug-in, le estensioni e i moduli: Speriamo che tu abbia già completato questo passaggio. Molti siti vengono compromessi perché eseguono software obsoleto. In alcuni sistemi di gestione dei contenuti è supportato l'aggiornamento automatico.
  • Valuta la possibilità di abbonarti a un servizio di sicurezza per monitorare il tuo sito: esistono molti ottimi servizi che possono aiutarti a monitorare il tuo sito a un piccolo costo. Per mantenere sicuro il tuo sito, valuta se registrarti a tali servizi.

Risorse aggiuntive

Se continui a riscontrare problemi con la correzione del tuo sito, ecco alcune altre risorse che potrebbero esserti utili.

Questi strumenti analizzano i siti e potrebbero riuscire a rilevare contenuti problematici. Google non li esegue e non li supporta, ad eccezione dello strumento VirusTotal.

Questi sono solo alcuni degli strumenti che potrebbero essere in grado di analizzare il tuo sito alla ricerca di contenuti problematici. Tieni presente che questi scanner non possono garantire di identificare ogni tipo di contenuti problematici.

Ecco alcune risorse aggiuntive di Google che potrebbero essere utili: