Testi in Giapponese nei risultati Google, sito Hackerato

stringhe giapponesi risultati ricerca

Recentemente ho avuto un problema con il sito di un cliente. I risultati di ricerca Google restituivano degli snippet con parole in giapponese o cinese. Era evidente che il sito era stato Hackerato. Facendo una ricerca nel database non risultavano i testi. Dunque Google da dove prendeva questi testi? Perché dei testi in cinese o giapponese nei risultati di Google non c’era traccia nel DB o nelle cartelle sul server? La risposta è molto semplice tutti i dati dei testi erano criptati dentro file posizionati nelle directory del server.

Qui sotto vedete un’immagine di un file dove un codice incomprensibile e lunghissimo fa bella mostra di sè.
Ho trovato diversi file nella root con codice criptato e avendo esperienza dei nomi dei file di Joomla o WordPress mi sono balzati subito all’occhio. Così ho potuto fare una ricerca all’interno dei file della stringa “base64_decode” e trovare tutti i file che ne facevano un uso malevolo (facile vedere il blocco di testo criptato subito dopo).

hacker-risultati-google

Per criptare il testo viene usato un base64 usato anche normalmente dai CMS. In questo caso il sito attaccato è un CMS Joomla ma la maggior parte dei siti afflitti da questo problema sono su WordPress.

Come ripulire le directory dai file infetti?

Come accennato sopra la prima cosa è stata individuare i file che avevano la stringa base64_decode e un malloppo di testo criptato, verificare che non fossero file originali ed eliminarli.
Successivamente o scoperto che in ogni folder ( e sono tante…centinaia) era stato creato un file htaccess con delle istruzioni. In Joomla e WordPress c’è di norma un solo file htaccess e si trova nella root. Grazie ad una funzione di ricerca avanzata di Filezilla ho potuto cercare tutti i file htacces con una precisa dimensione ed eliminarli in blocco…erano centinaia.

Infine ho cercato dentro cartelle sensibili come administrator e includes se erano stati creati altri file strani.
Intanto procedevo con dei backup incrementali per tenere la situazione sotto controllo.

Una volta fatto questo si è però reso necessario andare a “dire” a Google che ora il sito andava reindicizzato con i testi corretti. Ho quindi richiesto la scansione delle pagine e in breve facendo le ricerche le stringhe non c’erano più.Infine ho cambiato le password di accesso al backoffice, Ftp e Mysql.

Se ritieni di avere un problema simile sul tuo sito e ti serve aiuto contattami.

 

Malware


Graziano De Maio

Consulente Seo e Web Designer, si occupa di creazione siti e portali dinamici con Joomla e Wordpress, Restyling e revamp siti esistenti, Social media marketing, strategie di posizionamento sui motori di ricerca. Creazione di Sales Funnel e UX.

Gdmtech

Via Stefanardo da Vimercate 28
20128 Milano (MI) - Italy

Philosofy

I nostri clienti sono aziende e professionisti che vogliono sfruttare Internet per trovare nuovi clienti, aumentare i loro contatti, vendere i loro servizi e prodotti. Oltre alle normali attività di Web Design siamo  specialisti SEO e Digital Marketing. Ci occupiamo di corsi di web marketing in azienda, sviluppo di e-commerce con Opencart e Prestashop e Woocommerce, siti web in Wordpress e Joomla, migrazioni.

Gdmtech - Web&Seo Agency Milano

Gdmtech Google Review