Os resultados de pesquisa do meu site mostram conteúdo que não é meu, incluindo farmácias (Viagra e Cialis)

14

Eu tenho um site e quando tento uma pesquisa como esta: site:dichthuatviettin.comisso me dá vários resultados como este:

Exemplo de captura de tela do resultado
Essas páginas não existem no meu site, como chegaram lá?

Não sei mais o que está acontecendo com meu site! Alguma ajuda ou explicação por que isso acontece?

user41724
fonte
Seu site é construído em Joomla ou Wordpress?
Wexford
Não, é a estrutura da minha empresa
user41724
8
Essas páginas fazer existir no seu site. Eu posso acessá-los sem problemas agora.
Agent_L
3
Você foi invadido pelo hack Pharma ... É um pesadelo absoluto para limpar completamente - pesquise todos os arquivos em seu site criptografados com base64. Freqüentemente, você não verá esse código com spam em suas páginas, como algumas das outras respostas sugerem limpeza, pois é visível apenas para o Googlebot.
zigojacko

Respostas:

22

Seu site foi comprometido e está sendo usado por blackhat SEOs. Isso é algo bastante comum entre spammers e afins. Veja: Meu site foi invadido - e agora? , pelo Google.

  1. Faça o download de um backup do seu site. Certifique-se de também fazer backup do banco de dados, não apenas dos arquivos.
  2. Entre em contato com seu host e explique a situação.
  3. Verifique se o seu software está desatualizado (Joomla, Wordpress). Faça o mesmo para todos os seus plugins . Pesquise ao redor para ver se mais alguém relatou alguma vulnerabilidade nos plug-ins que você usa.
  4. Altere todas as senhas e nomes de usuário do FTP.
  5. Verifique se o seu login de administrador é seguro. Use nomes de usuário que não sejam "admin" e "user". Altere sua senha e verifique se não é fácil adivinhar. Verifique se o seu site protege contra ataques de força bruta, pois os bots estão constantemente tentando invadir os painéis do Wordpress (dois dos meus sites direcionados ao Wordpress veem ataques diariamente).
  6. Desative o site por enquanto, até que você solucione o problema. Faça o que o Google sugere e retorne um código de status HTTP 503.
  7. Se o site for personalizado, entre em contato com os desenvolvedores.
  8. Depois que uma parte do seu site for comprometida, você deve assumir que tudo no seu site foi comprometido.
  9. Uma limpeza completa e uma nova reinstalação do seu software (Wordpress, Joomla) estão em ordem. Às vezes, os hackers deixam scripts backdoor que lhes dão acesso remoto ou injetam código nas partes principais do seu software.
  10. Tente evitar aplicar 777 permissões aos diretórios.
Wexford
fonte
8
Importante Antes de reinstalar / limpar / reverter / o que for, descubra como eles fizeram isso. Caso contrário, eles apenas farão isso de novo.
precisa
Às vezes, esses hacks são visíveis apenas para os mecanismos de pesquisa (endereços IP ou agentes de usuário). Verifique com uma ferramenta como o Fetch como Google se não tiver certeza: googlewebmastercentral.blogspot.ch/2009/11/…
John Mueller
5

Parece que você foi "hackeado". Alguém encontrou um método para fazer upload de páginas para o servidor e as indexou. Acesse seu site / banco de dados e faça uma busca detalhada por essas palavras-chave.

Dica: com a linha de comando, você pode encontrar e classificar arquivos na data da última edição (isso dura 25):

find . -type f -printf '%T@ %p\n' | sort -n | tail -25 | cut -f2- -d" "

Depois disso, verifique se há buracos, direitos errados, seus envios, etc. Se for um site do Wordpress, Joomla Drupal ou outra estrutura, leia a segurança sobre essa estrutura. Os 'hackers' amam esses sites e os exploram com bots.

Martijn
fonte
4

Isso aconteceu comigo um tempo atrás em um servidor compartilhado. A lista de Wexford é bastante abrangente, mas eu queria incluir que o atacante também adicionou sua própria chave em.ssh/authorized_keyse foi capaz de reinfectar meu site depois que removi tudo. Não tenho certeza se esse é o caso na sua configuração, mas estar em um servidor compartilhado pode expô-lo a ataques de outros sites comprometidos (usuários) no mesmo servidor. Qualquer diretório gravável no mundo pode ter shells da Web removidos por qualquer usuário no servidor, e qualquer arquivo de aplicativo legível pelo mundo contendo credenciais de banco de dados pode ser lido por outros usuários, portanto, seu aplicativo da Web não precisa ser vulnerável para ser comprometida. Proteger permissões em arquivos / diretórios confidenciais é um bom começo e remover o bit legível pelo mundo (mas deixando o executável) em um dos diretórios mais importantes é outro bom passo.

Matt Barry
fonte