Corrigir a invasão de palavras-chave japonesas

Este guia foi criado especificamente para um tipo de invasão que cria texto em japonês gerado automaticamente no seu site, que vamos chamar de invasão de palavras-chave japonesas. Ele foi criado para usuários de sistemas de gerenciamento de conteúdo (CMSs) conhecidos, mas você vai achar este guia útil mesmo que não use um CMS.

Queremos garantir que este guia seja útil para você. Envie seu feedback para nos ajudar a melhorar.

A invasão com palavras-chave japonesas em geral cria páginas novas com texto em japonês gerado automaticamente no seu site em nomes de diretórios gerados aleatoriamente (por exemplo, http://example.com/ltjmnjp/341.html). Essas páginas são monetizadas usando links afiliados a lojas que vendem mercadorias de marcas falsas e são exibidas na Pesquisa Google. Confira um exemplo de como uma dessas páginas fica:

Exemplo de uma página com o hack de palavra-chave em japonês.
Uma página de texto gerada pela invasão de palavras-chave japonesas.

Com esse tipo de invasão, o hacker geralmente se adiciona como proprietário da propriedade no Search Console para aumentar os lucros manipulando as configurações do seu site, como segmentação geográfica ou sitemaps. Se você recebeu uma notificação de que alguém que você não conhece verificou seu site no Search Console, é muito provável que ele tenha sido invadido.

Comece verificando a ferramenta Problemas de segurança no Search Console para saber se o Google detectou alguma dessas páginas invadidas no seu site. Às vezes, você também pode descobrir páginas como essa abrindo uma janela de pesquisa do Google e digitando site:_your site url_, com o URL raiz do seu site. Isso vai mostrar as páginas que o Google indexou para seu site, incluindo as páginas invadidas. Navegue por algumas páginas de resultados da pesquisa para identificar URLs incomuns. Se não encontrar conteúdo invadido na Pesquisa Google, use os mesmos termos de pesquisa com um mecanismo de pesquisa diferente. Confira um exemplo de como isso ficaria:

Exemplo de um site invadido na pesquisa.
As páginas invadidas aparecem nos resultados da Pesquisa Google.

Normalmente, quando você clica em um link para uma página invadida, é redirecionado para outro site ou encontra uma página cheia de conteúdo sem sentido. No entanto, também pode aparecer uma mensagem sugerindo que a página não existe (por exemplo, um erro 404). Não se engane! Os hackers vão tentar fazer você pensar que a página foi removida ou corrigida quando ela ainda estiver invadida. Eles fazem isso ocultando o conteúdo. Para verificar se há cloaking, insira os URLs do seu site na Ferramenta de inspeção de URL. A ferramenta "Buscar como o Google" permite que você veja o conteúdo oculto.

Se você encontrar esses problemas, é provável que seu site tenha sido afetado por esse tipo de invasão.

Corrigir o hack

Antes de começar, faça uma cópia off-line de todos os arquivos antes de removê-los, caso seja necessário restaurá-los mais tarde. Melhor ainda, faça backup de todo o site antes de iniciar o processo de limpeza. Para fazer isso, salve todos os arquivos que estão no servidor em um local externo ou procure as melhores opções de backup para seu sistema de gerenciamento de conteúdo (CMS). Se você estiver usando um CMS, faça backup do banco de dados.

Remover as novas contas criadas no Search Console

Se um novo proprietário que você não reconhece foi adicionado à sua conta do Search Console, revogue o acesso dele assim que possível. É possível verificar quais usuários foram verificados para seu site na página de verificação do Search Console. Clique em "Detalhes da verificação" no site para conferir todos os usuários verificados.

Para remover um proprietário do Search Console, consulte a seção "Remover proprietário" da Central de Ajuda "Gerenciar usuários, proprietários e permissões". Você precisa remover o token de verificação associado, que normalmente é um arquivo HTML na raiz do seu site ou um arquivo .htaccess gerado dinamicamente que imita um arquivo HTML.

Se você não encontrar um token de verificação HTML no seu site, verifique se há uma regra de substituição no arquivo .htaccess. A regra de regravação vai ficar assim:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Para remover o token de verificação gerado dinamicamente do arquivo .htaccess, siga estas etapas:

Verificar o arquivo .htaccess (duas etapas)

Além de usar um arquivo .htaccess para criar tokens de verificação gerados dinamicamente, os hackers costumam usar regras .htaccess para redirecionar usuários ou criar páginas de spam com texto sem sentido. A menos que você tenha regras .htaccess personalizadas, considere substituir o .htaccess por uma cópia completamente nova.

Etapa 1

Localize o arquivo .htaccess no seu site. Se você não souber onde encontrá-lo e estiver usando um CMS como WordPress, Joomla ou Drupal, pesquise "localização do arquivo .htaccess" em um mecanismo de pesquisa com o nome do CMS. Dependendo do site, você pode encontrar vários arquivos .htaccess. Faça uma lista de todos os locais de arquivos .htaccess.

Etapa 2

Substitua todos os arquivos .htaccess por uma versão limpa ou padrão do arquivo .htaccess. Geralmente, é possível encontrar uma versão padrão de um arquivo .htaccess pesquisando "arquivo .htaccess padrão" e o nome do CMS. Para sites com vários arquivos .htaccess, encontre uma versão limpa de cada um e substitua-os.

Se não houver um .htaccess padrão e você nunca tiver configurado um arquivo .htaccess no seu site, o arquivo .htaccess encontrado no site provavelmente é malicioso. Salve uma cópia dos arquivos .htaccess off-line por precaução e exclua o arquivo .htaccess do seu site.

Remover todos os arquivos e scripts maliciosos (4 etapas)

Identificar arquivos maliciosos pode ser complicado e demorado. Não se apresse ao verificar seus arquivos. Se ainda não fez isso, é uma boa hora para fazer o backup dos arquivos do seu site. Faça uma pesquisa no Google com a frase "fazer backup do site" e o nome do seu CMS para encontrar instruções sobre como fazer backup do site.

Etapa 1

Se você usa um CMS, reinstale todos os arquivos principais (padrão) que vêm na distribuição padrão do CMS, além de tudo o que você adicionou (como temas, módulos ou plug-ins). Isso ajuda a garantir que esses arquivos não tenham conteúdo invadido. Você pode pesquisar no Google "reinstall" e o nome do seu CMS para encontrar instruções de reinstalação. Se você tiver plug-ins, módulos, extensões ou temas, reinstale-os também.

Etapa 2

Os hackers geralmente modificam ou adicionam novos sitemaps para ajudar a indexar os URLs mais rapidamente. Se você já tinha um arquivo de sitemap, verifique se há links suspeitos e remova-os do sitemap. Se houver arquivos de sitemap que você não se lembra de ter adicionado ao seu site, verifique-os e remova-os se eles contiverem apenas URLs de spam.

Etapa 3

Procure outros arquivos maliciosos ou comprometidos. Talvez você já tenha removido todos os arquivos maliciosos nas duas etapas anteriores, mas é melhor seguir estas próximas etapas caso haja mais arquivos no site que tenham sido comprometedores.

Não se sinta sobrecarregado pensando que precisa abrir e analisar todos os arquivos PHP. Comece criando uma lista de arquivos PHP suspeitos que você quer investigar. Confira algumas maneiras de determinar quais arquivos PHP são suspeitos:

  • Se você já recarregou os arquivos do CMS, procure apenas os arquivos que não fazem parte dos arquivos ou pastas padrão do CMS. Isso deve excluir muitos arquivos PHP e deixar você com alguns arquivos para analisar.
  • Classifique os arquivos do site por data da última modificação. Procure arquivos que foram modificados alguns meses depois de você descobrir que seu site foi invadido.
  • Classifique os arquivos do site por tamanho. Procure os arquivos muito grandes.

Etapa 4

Depois de ter uma lista de arquivos PHP suspeitos, verifique se eles têm conteúdo malicioso. Se você não conhece o PHP, esse processo pode levar mais tempo. Portanto, considere ler a documentação do PHP. Se você não tem experiência com programação, recomendamos que procure ajuda. Enquanto isso, existem alguns padrões básicos que você pode procurar para identificar arquivos maliciosos.

Se você usa um CMS e não tem o hábito de editar os arquivos PHP diretamente, compare os arquivos no seu servidor com uma lista dos arquivos padrão empacotados com o CMS e todos os plug-ins e temas. Procure arquivos que não pertencem a ele e arquivos maiores que a versão padrão.

Analise os arquivos suspeitos que você já identificou para procurar blocos de código ofuscado. Isso pode parecer uma combinação de letras e números aparentemente misturados, geralmente precedidos por uma combinação de funções PHP, como base64_decode, rot13, eval, strrev ou gzinflate. Confira um exemplo de como o bloco de código pode ficar. Às vezes, todo esse código é colocado em uma linha longa de texto, fazendo com que pareça menor do que realmente é.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A"
);
$OO0_0OO0__
=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Verificar se o site está limpo

Depois de se livrar dos arquivos invadidos, verifique se seu trabalho valeu a pena. Lembra das páginas sem sentido que você identificou antes? Use a ferramenta "Buscar como o Google" neles novamente para saber se eles ainda existem. Se a resposta for "Não encontrado" no recurso "Extrair como o Google", provavelmente seu site está em boas condições e você pode passar para a correção das vulnerabilidades.

Como evitar ser invadido novamente?

Corrigir vulnerabilidades no seu site é uma etapa final essencial para corrigir o site. Um estudo recente descobriu que 20% dos sites invadidos são invadidos novamente em um dia. É importante saber exatamente como o site foi invadido. Leia nosso guia sobre as principais formas de invasão de sites por spammers para começar a investigação. No entanto, se você não conseguir descobrir como seu site foi invadido, confira a seguir uma lista de verificação com ações que você pode fazer para reduzir as vulnerabilidades no seu site.

  • Verifique seu computador regularmente:use qualquer verificador de vírus conhecido para verificar se há vírus ou vulnerabilidades.
  • Mude suas senhas regularmente:mudar regularmente as senhas de todas as contas do seu site, como o provedor de hospedagem, o FTP e o CMS, pode impedir o acesso não autorizado ao site. É importante criar uma senha forte e exclusivo para cada conta.
  • Use a autenticação de dois fatores (2FA):ative a 2FA em qualquer serviço que exija login. A 2FA dificulta o login de hackers, mesmo que eles consigam roubar sua senha.
  • Atualize seu CMS, plug-ins, extensões e módulos regularmente:espero que você já tenha feito isso. Muitos sites são invadidos porque executam softwares desatualizados. Alguns CMSs são compatíveis com a atualização automática.
  • Considere assinar um serviço de segurança para monitorar seu site:há muitos serviços excelentes que podem ajudar você a monitorar seu site por uma pequena taxa. Recomendamos que você faça registro em um deles para manter o site seguro.

Outros recursos

Se você ainda tiver problemas para corrigir o site, há mais alguns recursos que podem ajudar.

Estas ferramentas fazem a varredura do site e podem encontrar conteúdos problemáticos. O Google não desenvolve nem oferece suporte para elas, a não ser a VirusTotal.

Estas são apenas algumas ferramentas que podem verificar seu site em busca de conteúdo problemático. Vale lembrar que esses verificadores não podem garantir que vão identificar todos os tipos de conteúdo problemático.

Veja outros recursos do Google que podem ajudar você: