Esta guía se creó específicamente para un tipo de hackeo que crea texto en japonés generado automáticamente en tu sitio. Nos referiremos a este truco de palabras clave en japonés. Está diseñada para usuarios de sistemas de administración de contenido (CMS) populares, pero esta guía te resultará útil incluso si no lo usas.
Queremos asegurarnos de que esta guía sea realmente útil para ti. Deja comentarios para ayudarnos a mejorar.
Identifica este tipo de hackeo
Por lo general, el hackeo de palabras clave japonesas crea páginas nuevas con texto en japonés generado automáticamente en tu sitio con nombres de directorio generados de forma aleatoria (por ejemplo, http://example.com/ltjmnjp/341.html). Estas páginas se monetizan con vínculos de afiliado a tiendas que venden artículos promocionales de marcas falsas y, luego, se muestran en la Búsqueda de Google. Este es un ejemplo de cómo se ve una de estas páginas:
Con este tipo de hackeo, el hacker suele agregarse como propietario en Search Console para aumentar las ganancias manipulando la configuración de tu sitio, como la segmentación geográfica o los mapas del sitio. Si recibiste una notificación de que alguien que no conoces verificó tu sitio en Search Console, existe una gran posibilidad de que lo hayan hackeado.
Primero, consulta la herramienta Problemas de seguridad de Search Console para comprobar si Google descubrió alguna de estas páginas hackeadas en tu sitio. En ocasiones, también puedes descubrir páginas como esta si abres una ventana de la Búsqueda de Google y escribes site:_your site url_, con la URL de nivel raíz de tu sitio. De esta manera, se mostrarán las páginas que Google indexó para tu sitio, incluidas las páginas hackeadas. Revisa un par de páginas de resultados de la búsqueda para ver si detectas URLs inusuales. Si no ves contenido hackeado en la Búsqueda de Google, usa los mismos términos de búsqueda con otro motor de búsqueda. Este es un ejemplo de cómo se vería:
Por lo general, cuando haces clic en un vínculo a una página hackeada, se te redirecciona a otro sitio o se te muestra una página llena de texto incoherente. Sin embargo, es posible que también veas un mensaje que sugiera que la página no existe (por ejemplo, un error 404). No te dejes engañar. Los hackers intentarán engañarte para que pienses que la página ya no existe o se arregló. Para ello, utilizan contenido de encubrimiento. Ingresa las URLs del sitio en la Herramienta de inspección de URLs para comprobar si es posible encubrimiento. La herramienta Explorar como Google te permite ver el contenido oculto subyacente.
Si ves estos problemas, es probable que tu sitio se haya visto afectado por este tipo de hackeo.
Solucionar el truco
Antes de comenzar, haz una copia sin conexión de los archivos antes de quitarlos, en caso de que necesites restablecerlos más tarde. Mejor aún, crea una copia de seguridad de todo el sitio antes de comenzar el proceso de limpieza. Para ello, guarda todos los archivos que se encuentran en tu servidor en una ubicación fuera de tu servidor o busca las mejores opciones de copia de seguridad para tu sistema de administración de contenido (CMS) específico. Si usas un CMS, también crea una copia de seguridad de la base de datos.
Cómo quitar de Search Console las cuentas creadas recientemente
Si se agregó a tu cuenta de Search Console a un nuevo propietario que no reconoces, revoca su acceso lo antes posible. Puedes comprobar qué usuarios están verificados para tu sitio en la página de verificación de Search Console. Haz clic en "Detalles de verificación" del sitio para ver todos los usuarios verificados.
Para quitar un propietario de Search Console, consulta la sección Quitar propietario del Centro de ayuda de administración de usuarios, propietarios y permisos.
Debes quitar el token de verificación asociado, que suele ser un archivo HTML en la raíz de tu sitio o un archivo .htaccess generado de forma dinámica que imita un archivo HTML.
Si no puedes encontrar un token de verificación HTML en tu sitio, busca una regla de reescritura en tu archivo .htaccess. La regla de reescritura será similar a la siguiente:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Para quitar el token de verificación generado de forma dinámica de tu archivo .htaccess, sigue estos pasos:
Verifica el archivo .htaccess (2 pasos)
Además de usar un archivo .htaccess para crear tokens de verificación generados de forma dinámica, los hackers suelen usar reglas .htaccess para redireccionar a los usuarios o crear páginas incoherentes con spam. A menos que tengas reglas de .htaccess personalizadas, considera reemplazar tu .htaccess por una copia completamente nueva.
Paso 1
Ubica el archivo .htaccess en tu sitio. Si no sabes dónde encontrarlo
y usas un CMS, como WordPress, Joomla o Drupal, busca la
"ubicación del archivo htaccess" en un motor de búsqueda junto con el nombre del CMS.
Según tu sitio, es posible que veas varios archivos .htaccess.
Haz una lista de todas las ubicaciones de archivos de .htaccess.
Paso 2
Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada del archivo .htaccess. Por lo general, para encontrar una versión predeterminada de un archivo .htaccess, busca el "archivo .htaccess predeterminado" y el nombre de tu CMS. Para los sitios con varios archivos .htaccess, busca una versión limpia de cada uno y reemplázalos.
Si no existe un .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que se encuentre en él sea malicioso. Guarda una copia de los archivos .htaccess sin conexión por si acaso y borra el archivo .htaccess de tu sitio.
Quita todos los archivos y las secuencias de comandos maliciosos (4 pasos)
Identificar los archivos maliciosos puede ser complicado y requerir mucho tiempo. Tómate el tiempo que necesites para revisar tus archivos. Si aún no lo has hecho, este es un buen momento para crear una copia de seguridad de los archivos de tu sitio. Haz una búsqueda en Google de “sitio de copia de seguridad” y el nombre de tu CMS para encontrar instrucciones sobre cómo hacerlo.
Paso 1
Si usas un CMS, reinstala todos los archivos principales (predeterminados) que se incluyen en la distribución predeterminada del CMS, así como todo lo que hayas agregado (como temas, módulos o complementos). Esto ayuda a garantizar que los archivos no tengan contenido hackeado. Puedes buscar "reinstalar" en Google y buscar las instrucciones para hacerlo. Si tienes complementos, módulos, extensiones o temas, asegúrate de volver a instalarlos también.
Paso 2
Con frecuencia, los hackers modifican tu mapa del sitio o agregan uno nuevo para que sus URLs se indexen más rápido. Si ya tenías un archivo de mapa del sitio, revísalo para ver si hay vínculos sospechosos y quítalos del mapa del sitio. Si hay archivos de mapas del sitio que no recuerdas haber agregado a tu sitio, vuelve a revisarlos y quítalos si solo contienen URLs con spam.
Paso 3
Busca cualquier otro archivo malicioso o vulnerado. Es posible que ya hayas quitado todos los archivos maliciosos en los dos pasos anteriores, pero es mejor seguir estos pasos en caso de que haya más archivos en tu sitio que hayan sido vulnerados.
No te abrumes por pensar que necesitas abrir y revisar todos los archivos PHP. Para comenzar, crea una lista de archivos PHP sospechosos que quieras investigar. Para determinar qué archivos PHP son sospechosos, sigue estos pasos:
- Si ya volviste a cargar tus archivos CMS, solo debes revisar los archivos que no formen parte de las carpetas o los archivos de CMS predeterminados. Esto debería descartar muchos archivos PHP y te dejaría con algunos archivos para consultar.
- Ordena los archivos de tu sitio por la fecha de la última modificación. Busca archivos que se hayan modificado unos meses después de la primera vez que descubriste que tu sitio fue hackeado.
- Ordena los archivos de tu sitio por tamaño. Busca si hay archivos inusualmente grandes.
Paso 4
Cuando tengas una lista de los archivos PHP sospechosos, revísalos en busca de contenido malicioso. Si no estás familiarizado con PHP, es posible que este proceso lleve más tiempo, así que considera repasar la documentación de PHP. Si es la primera vez que codificas, te recomendamos obtener ayuda. Mientras tanto, puedes consultar algunos patrones básicos para identificar archivos maliciosos.
Si usas un CMS y no tienes la costumbre de editar sus archivos PHP directamente, compara los archivos de tu servidor con una lista de los archivos predeterminados empaquetados con el CMS y cualquier complemento y tema. Busca los archivos que no correspondan y los que sean más grandes que la versión predeterminada.
Analiza los archivos sospechosos que ya identificaste para buscar bloques de código ofuscado. Esto puede parecer una combinación de letras y números aparentemente mezclados, generalmente precedidos por una combinación de funciones de PHP como base64_decode, rot13, eval, strrev o gzinflate. Este es un ejemplo de
cómo podría verse el bloque de código. A veces, todo este código se inserta en una larga línea de texto, lo que hace que parezca más pequeño de lo que es en realidad.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Verifica si tu sitio está limpio
Una vez que hayas terminado de deshacerte de los archivos hackeados, verifica si tu trabajo arduo valió la pena. ¿Recuerdas las páginas sin sentido que identificaste antes? Vuelve a usar la herramienta Explorar como Google en ellos para ver si aún existen. Si responden como "No encontrado" en Explorar como Google, es probable que estés en buen estado y que puedas continuar con la solución de las vulnerabilidades de tu sitio.
¿Cómo evito que vuelvan a hackearlas?
Corregir las vulnerabilidades de tu sitio es un paso final esencial para hacerlo. En un estudio reciente realizado, se descubrió que el 20% de los sitios hackeados vuelven a ser hackeados en el plazo de un día. Es útil saber exactamente cómo hackearon tu sitio. Lee nuestra guía sobre las principales formas en que los generadores de spam hackean los sitios web para comenzar con tu investigación. Sin embargo, si no puedes averiguar cómo se hackeó tu sitio, revisa la siguiente lista de tareas para reducir las vulnerabilidades.
- Analiza tu computadora con regularidad: Usa cualquier análisis de virus popular para detectar virus o vulnerabilidades.
- Cambia tus contraseñas con regularidad: Si cambias las contraseñas de forma periódica de todas las cuentas de tu sitio web, como tu proveedor de hosting, FTP y CMS, puedes evitar el acceso no autorizado a tu sitio. Es importante crear una contraseña segura y única para cada cuenta.
- Usa la autenticación de dos factores (2FA): Considera habilitar la 2FA en cualquier servicio que requiera que accedas. La 2FA dificulta el acceso de los hackers, incluso si roban tu contraseña.
- Actualiza tu CMS, tus complementos, extensiones y módulos con frecuencia: Esperamos que ya hayas completado este paso. Muchos sitios son hackeados porque usan software desactualizado. Algunos CMS admiten la actualización automática.
- Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios excelentes que pueden ayudarte a supervisar tu sitio por una pequeña tarifa. Considera registrarte con ellos para mantener tu sitio seguro.
Recursos adicionales
Si aún tienes problemas para corregir tu sitio, hay algunos recursos más que pueden ayudarte.
Estas herramientas analizan tu sitio y podrían encontrar contenido problemático. Aparte de VirusTotal, Google no las ejecuta ni las admite.
Estas son solo algunas herramientas que pueden ayudarte a analizar tu sitio en busca de contenido problemático. Ten en cuenta que estos escáneres no pueden garantizar que identifiquen cada tipo de contenido problemático.
Estos son otros recursos de Google que pueden ayudarte: