Este guia é para um tipo de invasão que cria texto japonês gerado automaticamente no seu site, que chamamos de invasão com palavras-chave japonesas. Ele foi criado para usuários de sistemas de gerenciamento de conteúdo (CMSs) populares, mas ainda será útil se o site não usar um CMS.
Identificar esse tipo de invasão
A invasão com palavras-chave japonesas em geral cria páginas novas com texto em japonês gerado automaticamente no site em diretórios com nomes gerados aleatoriamente (por exemplo, http://example.com/ltjmnjp/341.html). Essas páginas são monetizadas por meio de links afiliados a lojas que vendem mercadorias de marcas falsas e são exibidas na Pesquisa Google. Confira um exemplo de como uma dessas páginas aparece:
Com esse tipo de invasão, o hacker geralmente se adiciona como proprietário da propriedade no Search Console para aumentar os lucros manipulando as configurações do site, como segmentação geográfica ou sitemaps. Se você recebeu uma notificação de que alguém que você não conhece verificou seu site no Google Search Console, há uma grande possibilidade de que ele tenha sido invadido.
Comece verificando a
ferramenta Problemas de segurança
no Search Console para saber se o Google descobriu alguma dessas páginas invadidas
no seu site. Às vezes, também é possível descobrir páginas como essa abrindo uma janela da Pesquisa Google e digitando site:_your site url_, com o URL de nível raiz do seu site. Isso vai mostrar as páginas que o Google indexou para seu site, incluindo as invadidas. Navegue por algumas páginas de resultados da pesquisa para ver se você encontra URLs incomuns. Se você não encontrar conteúdo invadido na Pesquisa Google, use os mesmos termos de pesquisa com um mecanismo de pesquisa diferente. Confira um exemplo de como isso seria:
Normalmente, quando você clica em um link para uma página invadida, é redirecionado para outro site ou vê uma página cheia de conteúdo sem sentido. No entanto, você também pode receber uma mensagem sugerindo que a página não existe (por exemplo, um erro 404). Não se deixe enganar! Os hackers vão tentar fazer você pensar que a página desapareceu ou foi corrigida quando ainda está invadida. Eles fazem isso por técnicas de cloaking conteúdo. Para verificar se há mascaramento, insira os URLs do seu site na Ferramenta de inspeção de URL. Essa ferramenta permite que você veja o conteúdo oculto subjacente.
Se você encontrar esses problemas, é muito provável que seu site tenha sido afetado por esse tipo de invasão.
Corrigir a invasão
Antes de começar, faça uma cópia off-line de todos os arquivos antes de removê-los, caso precise restaurá-los mais tarde. Melhor ainda, faça backup de todo o site antes de iniciar o processo de revisão dos dados. Para fazer isso, salve todos os arquivos que estão no seu servidor em um local fora dele ou pesquise as melhores opções de backup para seu sistema de gerenciamento de conteúdo (CMS). Se você estiver usando um CMS, também faça backup do banco de dados.
Remover as novas contas criadas no Search Console
Se um novo proprietário que você não reconhece foi adicionado à sua conta do Search Console, revogue o acesso dele o mais rápido possível. Você pode verificar quais usuários estão verificados para seu site na página de verificação do Search Console. Clique em "Detalhes da verificação" do site para ver todos os usuários verificados.
Para remover um proprietário do Search Console, consulte a seção "Remover proprietário"
da
Central de Ajuda "Gerenciar usuários, proprietários e permissões".
Você precisará remover o token de verificação associado, que geralmente é um arquivo HTML na raiz do site ou um arquivo .htaccess gerado dinamicamente que imita um arquivo HTML.
Se você não encontrar um token de verificação HTML no seu site, verifique se há uma regra de reescrita no arquivo .htaccess. A regra de reescrita será semelhante a esta:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Para remover o token de verificação gerado dinamicamente do arquivo .htaccess, siga estas etapas:
Verificar o arquivo .htaccess (duas etapas)
Além de usar um arquivo .htaccess para criar tokens de verificação gerados dinamicamente, os hackers costumam usar regras .htaccess para redirecionar usuários ou criar páginas com spam e conteúdo sem sentido. A menos que você tenha regras .htaccess personalizadas, considere substituir o .htaccess por uma cópia totalmente nova.
Etapa 1
Localize o arquivo .htaccess no seu site. Se você não souber onde encontrá-lo e estiver usando um CMS como WordPress, Joomla ou Drupal, pesquise ".htaccess file location" em um mecanismo de pesquisa junto com o nome do seu CMS.
Dependendo do seu site, você pode encontrar vários arquivos .htaccess.
Faça uma lista de todos os locais de arquivos .htaccess.
Etapa 2
Substitua todos os arquivos .htaccess por uma versão limpa ou padrão do arquivo .htaccess. Geralmente, é possível encontrar uma versão padrão de um arquivo .htaccess pesquisando "default .htaccess file" e o nome do seu CMS. Para sites com vários arquivos .htaccess, encontre uma versão limpa de cada um e substitua-os.
Se não houver um .htaccess padrão e você nunca tiver configurado um arquivo .htaccess no seu site, o arquivo .htaccess encontrado no site provavelmente é malicioso. Salve uma cópia dos arquivos .htaccess off-line, caso necessário, e exclua o arquivo .htaccess do seu site.
Remover todos os arquivos e scripts maliciosos (quatro etapas)
Identificar arquivos maliciosos pode ser complicado e demorado. Verifique os arquivos com calma. Se você ainda não fez isso, agora é um bom momento para fazer backup dos arquivos no seu site. Faça uma Pesquisa Google por "backup do site" e o nome do seu CMS para encontrar instruções sobre como fazer backup do site.
Etapa 1
Se você usa um CMS, reinstale todos os arquivos principais (padrão) que vêm na distribuição padrão do CMS, bem como tudo o que você adicionou (como temas, módulos ou plug-ins). Isso ajuda a garantir que esses arquivos estejam livres de conteúdo invadido. Você pode fazer uma Pesquisa Google por "reinstalar" e o nome do CMS para encontrar instruções de reinstalação. Se você tiver plug-ins, módulos, extensões ou temas, reinstale-os também.
Etapa 2
Os hackers costumam modificar o sitemap ou adicionar novos sitemaps para que os URLs sejam indexados mais rapidamente. Se você já tinha um arquivo do sitemap, verifique o arquivo para ver se há links suspeitos e remova-os. Se houver arquivos de sitemap que você não se lembra de ter adicionado ao site, revise o arquivo. Remova o arquivo se ele contiver apenas URLs de spam.
Etapa 3
Procure outros arquivos maliciosos ou comprometidos. Talvez você já tenha removido todos os arquivos maliciosos nas duas etapas anteriores, mas é melhor seguir estas próximas etapas caso haja mais arquivos comprometidos no seu site.
Não se preocupe em abrir e analisar todos os arquivos PHP. Comece criando uma lista de arquivos PHP suspeitos que você quer investigar. Confira algumas maneiras de determinar quais arquivos PHP são suspeitos:
- Se você já recarregou os arquivos do CMS, procure apenas arquivos que não fazem parte dos arquivos ou pastas padrão do CMS. Isso deve eliminar muitos arquivos PHP e deixar apenas alguns para você analisar.
- Classifique os arquivos do site por data da última modificação. Procure arquivos que foram modificados alguns meses após a descoberta da invasão do site.
- Classifique os arquivos do site por tamanho. Procure os arquivos muito grandes.
Etapa 4
Depois de ter uma lista de arquivos PHP suspeitos, verifique se há conteúdo malicioso. Se você não estiver familiarizado com o PHP, esse processo pode ser mais demorado, então considere revisar algumas documentações do PHP. Se você é totalmente leigo em programação, recomendamos que fale com um desenvolvedor experiente. Enquanto isso, existem alguns padrões básicos que você pode procurar para identificar arquivos maliciosos.
Se você usa um CMS e não tem o hábito de editar os arquivos PHP diretamente, compare os arquivos no servidor com uma lista dos arquivos padrão incluídos no CMS e em todos os plug-ins e temas. Procure arquivos que não pertencem, bem como arquivos maiores que a versão padrão.
Analise os arquivos suspeitos que você já identificou para procurar blocos de código ofuscado. Isso pode parecer uma combinação de letras e números aparentemente embaralhados, geralmente precedidos por uma combinação de funções PHP, como base64_decode, rot13, eval, strrev ou gzinflate. Confira um exemplo de como o bloco de código pode aparecer. Às vezes, todo esse código é colocado em uma linha de texto longa, fazendo com que pareça menor do que realmente é.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Verificar se o site está limpo
Depois de se livrar dos arquivos hackeados, verifique se seu trabalho valeu a pena. Lembra das páginas de conteúdo sem sentido que você identificou anteriormente? Use a ferramenta Buscar como o Google novamente para ver se elas ainda existem.
Se elas responderem como "Não encontrado" na ferramenta Fetch as Google, é provável que você esteja em boa forma e possa passar para a correção das vulnerabilidades no seu site.
Como evitar ser invadido novamente?
Corrigir vulnerabilidades no site é uma etapa final essencial para corrigir o site. Um estudo recente descobriu que 20% dos sites invadidos são invadidos novamente em um dia. É importante saber exatamente como o site foi invadido. Leia nosso guia sobre as principais maneiras de os sites serem invadidos por spammers para iniciar sua investigação. Se você não conseguir descobrir como o site foi invadido, siga esta lista de verificação para reduzir as vulnerabilidades no site.
- Verifique seu computador regularmente: use um software antivírus popular para verificar se há vírus ou vulnerabilidades.
- Mude suas senhas regularmente: mudar as senhas de todas as contas do site, como provedor de hospedagem, FTP e CMS, pode impedir o acesso não autorizado ao site. É importante criar uma senha forte e exclusiva para cada conta.
- Use a autenticação de dois fatores (2FA): Considere ativar a 2FA em qualquer serviço que exija login. Isso dificulta o login dos hackers, mesmo que eles roubem sua senha.
- Atualize o CMS, os plug-ins, as extensões e os módulos regularmente: esperamos que você já tenha feito essa etapa. Muitos sites são invadidos porque estão executando softwares desatualizados. Alguns CMSs são compatíveis com a atualização automática.
- Considere assinar um serviço de segurança para monitorar seu site: Muitos serviços estão disponíveis para ajudar a monitorar seu site por uma pequena taxa. Recomendamos que você faça registro em um deles para manter o site seguro.
Outros recursos
Se você ainda estiver com problemas para corrigir o site, há alguns outros recursos que podem ajudar.
Essas ferramentas verificam seu site e podem encontrar conteúdo problemático. O Google não desenvolve nem oferece suporte para elas, a não ser a VirusTotal.
Essas são apenas algumas ferramentas que podem verificar seu site em busca de conteúdo problemático. Lembre-se de que esses scanners não podem garantir que vão identificar todos os tipos de conteúdo problemático.
Veja outros recursos do Google que podem ajudar você: