Risolvere la compromissione con contenuti senza senso

Questa guida è stata creata specificamente per un tipo di compromissione tramite l'aggiunta al sito di pagine con un numero di parole chiave senza senso, definita "hacking senza senso". È stata pensata per gli utenti dei più diffusi sistemi di gestione dei contenuti (CMS), ma può risultare utile anche per chi non li utilizza.

Vogliamo assicurarci che questa guida ti sia davvero utile. Lascia un feedback per aiutarci a migliorare.

Identificare questo tipo di compromissione

La compromissione con contenuti senza senso crea automaticamente molte pagine con frasi senza senso piene di parole chiave sul tuo sito. Queste sono pagine che non hai creato tu, ma che hanno URL che potrebbero indurre gli utenti a fare clic. In questo modo, le pagine compromesse vengono visualizzate nella Ricerca Google. Se gli utenti tentano di visitare queste pagine, vengono reindirizzati a una pagina non correlata. Gli hacker guadagnano quando le persone visitano queste pagine non correlate. Ecco alcuni esempi dei tipi di file che potresti trovare su un sito interessato dalla compromissione senza senso:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

A volte appaiono in una cartella composta da caratteri casuali e utilizzano lingue diverse:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Per prima cosa, controlla lo strumento Problemi di sicurezza in Search Console per controllare se Google ha rilevato una di queste pagine compromesse sul tuo sito. A volte, per individuare questo genere di pagine, puoi aprire una finestra di Ricerca Google e digitare site:_your site url_ con l'URL di livello principale del tuo sito. Verranno visualizzate le pagine che Google ha indicizzato per il tuo sito, incluse le pagine compromesse. Scorri un paio di pagine di risultati di ricerca per vedere se sono presenti URL insoliti. Se nella Ricerca Google non vedi contenuti compromessi, utilizza gli stessi termini di ricerca con un motore di ricerca diverso. Ecco un esempio di come potrebbe essere:

Risultati di ricerca che mostrano pagine relative a questa compromissione.
Le pagine compromesse vengono visualizzate nei risultati della Ricerca Google.

In genere, quando fai clic su un link a una pagina compromessa, vieni reindirizzato a un altro sito oppure visualizzi una pagina ricca di contenuti senza senso. Tuttavia, è possibile che venga visualizzato anche un messaggio che indica che la pagina non esiste (ad esempio un errore 404). Non farti ingannare! Gli hacker cercano di indurti con l'inganno a pensare che la pagina non sia più disponibile o sia stata corretta quando è ancora compromessa. A tale scopo, effettuano il cloaking dei contenuti. Verifica l'eventuale cloaking inserendo gli URL del tuo sito nello strumento Controllo URL. Lo strumento Visualizza come Google ti consente di visualizzare i contenuti sottostanti nascosti.

Se riscontri questi problemi, è molto probabile che il tuo sito sia stato interessato da questo tipo di compromissione.

Risolvere la compromissione

Prima di iniziare, crea una copia offline dei file prima di rimuoverli, nel caso in cui sia necessario ripristinarli in un secondo momento. Meglio ancora, esegui il backup dell'intero sito prima di iniziare la pulizia. Per farlo, salva tutti i file sul server in una posizione esterna al server o cerca le opzioni di backup più adatte al tuo sistema di gestione dei contenuti (CMS). Se utilizzi un CMS, esegui anche il backup del database.

Controlla il file .htaccess (2 passaggi)

La compromissione con contenuti senza senso reindirizza i visitatori del tuo sito utilizzando il file .htaccess.

Passaggio 1

Individua il file .htaccess sul tuo sito. Se non sai dove trovarlo e stai utilizzando un sistema di gestione dei contenuti come WordPress, Joomla o Drupal, cerca "percorso file file" in un motore di ricerca insieme al nome del tuo CMS. A seconda del sito, potresti vedere più file .htaccess. Crea un elenco di tutte le posizioni dei file (.htaccess).

Passaggio 2

Sostituisci tutti i file .htaccess con una versione predefinita o pulita del file .htaccess. In genere, puoi trovare una versione predefinita di un file .htaccess cercando "file .htaccess predefinito" e il nome del tuo CMS. Per i siti con più file .htaccess, trova una versione pulita di ciascuno e sostituiscili.

Se non esistono file .htaccess predefiniti e non hai mai configurato un file .htaccess sul tuo sito, è probabile che il file .htaccess che trovi sul tuo sito sia dannoso. Per sicurezza, salva una copia dei file .htaccess offline ed elimina il file .htaccess dal tuo sito.

Trovare e rimuovere altri file dannosi (5 passaggi)

L'identificazione dei file dannosi può essere complessa e richiedere molto tempo. Prenditi il tempo necessario per controllare i file. Se non l'hai ancora fatto, è il momento giusto per eseguire il backup dei file sul tuo sito. Esegui una ricerca su Google con i termini "backup del sito" e il nome del tuo CMS per trovare istruzioni su come eseguire il backup del tuo sito.

Passaggio 1

Se utilizzi un CMS, reinstalla tutti i file principali (predefiniti) presenti nella distribuzione predefinita del tuo CMS, nonché qualsiasi elemento eventualmente aggiunto (ad esempio temi, moduli, plug-in). Questo ci aiuta a garantire che questi file non contengano contenuti compromessi. Puoi cercare su Google "reinstallazione" e il nome del tuo CMS per trovare le istruzioni sulla reinstallazione. Se hai plug-in, moduli, estensioni o temi, assicurati di reinstallare anche questi.

Passaggio 2

Ora devi cercare eventuali file dannosi o compromessi rimanenti. Questa è la parte più difficile e che richiede molto tempo, ma hai quasi finito.

In questo caso di compromissione rimangono in genere due tipi di file: .txt e file .php. I file .txt vengono pubblicati come file modello e i file .php determinano il tipo di contenuto senza senso da caricare sul sito.

Inizia cercando i file .txt. A seconda del modo in cui ti colleghi al sito, dovresti vedere un qualche tipo di funzionalità di ricerca per i file. Cerca "".txt" per recuperare tutti i file con un'estensione .txt. La maggior parte di questi è file legittimi, ad esempio contratti di licenza o file Leggimi. Stai cercando un insieme di file .txt contenenti codice HTML utilizzato per creare modelli di spam. Ecco gli snippet di diverse porzioni di codice che potresti trovare in questi file .txt dannosi.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Gli hacker creano pagine contenenti spam attraverso la sostituzione delle parole chiave. Molto probabilmente vedrai una parola generica che può essere sostituita in tutto il file compromesso.

Inoltre, la maggior parte di questi file contiene un tipo di codice che posiziona i link contenenti spam e il testo contenente spam fuori dalla pagina visibile.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Rimuovi questi .txt file. Se sono tutti nella stessa cartella, rimuovi l'intera cartella.

Passaggio 3

I file PHP dannosi sono più difficili da rintracciare. Sul tuo sito potrebbero essere presenti uno o più file PHP dannosi. Possono essere tutti contenuti nella stessa sottodirectory o sparsi nel sito.

Non farti spaventare dal pensare di dover aprire ed esaminare ogni file PHP. Inizia creando un elenco dei file PHP sospetti che vuoi esaminare. Per determinare quali file PHP sono sospetti, procedi nel seguente modo:

  • Poiché hai già ricaricato i file CMS, controlla solo i file che non fanno parte delle cartelle o dei file CMS predefiniti. Con questa operazione dovresti eliminare un gran numero di file PHP e avere solo pochi file da esaminare.
  • Ordina i file presenti sul sito in base alla data dell'ultima modifica. Cerca i file che sono stati modificati entro pochi mesi dal momento in cui hai scoperto che il tuo sito era compromesso.
  • Ordina i file presenti sul sito in base alle dimensioni. Cerca i file di dimensioni insolitamente grandi.

Passaggio 4

Una volta creato un elenco dei file PHP sospetti, verifica se sono dannosi. Se non hai dimestichezza con i file PHP, questa procedura potrebbe richiedere più tempo. Ti consigliamo quindi di dare un'occhiata alla documentazione relativa ai file PHP. Se non hai mai utilizzato la programmazione, ti consigliamo di chiedere assistenza. Nel frattempo, puoi cercare alcune pattern di base per individuare i file dannosi.

Se utilizzi un CMS e non sei abituato a modificare direttamente i file, confronta i file sul tuo server con un elenco dei file predefiniti pacchettizzati con il CMS ed eventuali temi e plug-in. Cerca i file che non appartengono e i file più grandi della versione predefinita.

Per prima cosa, esamina i file sospetti che hai già identificato per cercare grandi blocchi di testo con una combinazione di lettere e numeri apparentemente confusi. Il blocco di testo di grandi dimensioni è solitamente preceduto da una combinazione di funzioni PHP come base64_decode, rot13, eval, strrev o gzinflate. Ecco un esempio di come si potrebbe presentare quel blocco di codice. A volte tutto questo codice è riempito in una lunga riga di testo, che lo fa sembrare più piccolo di quanto non sia in realtà.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

A volte il codice non è mischiato e ha l'aspetto di uno script normale. Se non sai con certezza se il codice è errato, visita la nostra Community di assistenza di Google Search Central, dove un gruppo di webmaster esperti può aiutarti a esaminare i file.

Passaggio 5

Ora che sai quali file sono sospetti, crea un backup o una copia locale salvandoli sul computer, nel caso in cui i file non siano dannosi, ed elimina i file sospetti dal tuo sito.

Verificare se il sito è pulito

Una volta che avrai eliminato i file compromessi, controlla se il tuo impegno è stato ripagato. Ricordi le pagine senza senso che hai identificato in precedenza? Utilizza di nuovo lo strumento Visualizza come Google per vedere se esistono ancora. Se lo strumento restituisce "Non trovato" in Visualizza come Google, è molto probabile che il tuo sito sia in buone condizioni e che tu possa procedere con la correzione delle vulnerabilità del tuo sito.

Come faccio a evitare future compromissioni?

Correggere le vulnerabilità del tuo sito è un passaggio finale essenziale per correggere il sito. Da un recente studio è emerso che il 20% dei siti compromessi viene nuovamente compromesso entro un giorno. È quindi utile sapere esattamente come è stato compromesso il tuo sito. Per iniziare la tua indagine, leggi la nostra guida Principali modalità di compromissione dei siti web da parte degli spammer. Tuttavia, se non riesci a capire in che modo il tuo sito è stato compromesso, di seguito trovi un elenco di controllo che indica cosa puoi fare per ridurre le vulnerabilità del tuo sito:

  • Esegui regolarmente la scansione del computer: utilizza uno dei più diffusi programmi antivirus per verificare la presenza di virus o vulnerabilità.
  • Modifica regolarmente le password: la modifica regolare delle password di tutti gli account del tuo sito web, ad esempio provider host, FTP e CMS, può impedire l'accesso non autorizzato al tuo sito. È importante creare una password efficace e univoca per ogni account.
  • Utilizza l'autenticazione a due fattori (2FA): valuta la possibilità di attivare l'autenticazione a due fattori in tutti i servizi che richiedono l'accesso. L'autenticazione a due fattori complica l'accesso per gli hacker, anche se sono riusciti a rubarti la password.
  • Aggiorna regolarmente il CMS, i plug-in, le estensioni e i moduli: speriamo che tu abbia già completato questo passaggio. Molti siti vengono compromessi perché eseguono software obsoleto. In alcuni sistemi di gestione dei contenuti è supportato l'aggiornamento automatico.
  • Valuta la possibilità di iscriverti a un servizio di sicurezza per monitorare il tuo sito: Esistono molti ottimi servizi che possono aiutarti a monitorare il tuo sito a un piccolo costo. Per mantenere sicuro il tuo sito, valuta se registrarti a tali servizi.

Risorse aggiuntive

Se continui a riscontrare problemi con la correzione del sito, sono disponibili altre risorse che potrebbero esserti utili.

Questi strumenti analizzano i siti e potrebbero riuscire a rilevare contenuti problematici. Google non li esegue e non li supporta, ad eccezione dello strumento VirusTotal.

Questi sono solo alcuni strumenti che potrebbero essere in grado di analizzare il tuo sito per individuare contenuti problematici. Tieni presente che questi strumenti di analisi non possono garantire l'identificazione di ogni tipo di contenuto problematico.

Ecco alcune risorse aggiuntive di Google che potrebbero essere utili: