Tipo invadido: injeção de URL

O que significa ter páginas marcadas com o tipo de site invadido "injeção de URL" no Search Console?

Isso significa que um hacker criou novas páginas em seu site, frequentemente com palavras ou links com spam. Às vezes, essas novas páginas contêm um código que não age da forma pretendida, redirecionando os usuários para outros sites ou colocando o servidor para participar de um ataque de negação de serviço contra outros sites.

Normalmente, os hackers modificam o site em uma das seguintes formas:

  • Ao ganhar acesso a um diretório não seguro em seu servidor. Por exemplo, é possível que você tenha, inadvertidamente, deixado um diretório com permissões abertas.
  • Ao explorar uma vulnerabilidade no software do site, como um sistema de gerenciamento de conteúdo. Por exemplo, você pode ter uma versão mais antiga e não segura do WordPress.
  • Ao invadir plug-ins de terceiros usados em seu site, como contadores de visitantes.

Para mais informações sobre sites comprometidos com spam, consulte Etapa 5: avalie o dano (spam) no processo de recuperação Ajuda para sites invadidos.

Como posso confirmar que as páginas com spam foram adicionadas ao site por um hacker?

Comece a investigação com os exemplos de URLs mostrados na mensagem que você recebeu ou na listagem da página "Problemas de segurança" do Search Console.  Mantenha notas detalhadas sobre o que você encontrar em cada URL.

Para confirmar que novas páginas foram adicionadas ao site, você pode usar os seguintes métodos, mesmo que o site esteja off-line:

  • Você também pode fazer uma pesquisa de sites (“site:”) como [site:example.com] no Google (observação: não deve haver espaço entre site: operador e seu nome de domínio). Essa consulta mostra as páginas do site indexadas por nós. Aqui você pode verificar se há mais páginas que não foram criadas por você. Para sites grandes, você pode usar uma consulta específica, como [site:example.com farmácia], [site:example.com/wp-admin/] ou [site:example.com inurl:hacked.php].
  • Você pode fazer login no servidor por meio do acesso shell/de terminal e verificar especificamente a existência dos exemplos fornecidos no tipo "injeção de URL" em questões de segurança.

Para ver o conteúdo das novas páginas, evite usar um navegador para visualizá-lo. Ele pode conter malware, que em geral se espalha explorando as vulnerabilidades do navegador. Abrir essa página em um navegador pode danificar seu computador. Se não houver malware nas páginas, o que você vê em um navegador muitas vezes não revela o que o Google e/ou os usuários veem, uma vez que os hackers podem ocultar as páginas com spam usando técnicas de cloaking. Você pode não ver nada ou a página pode não ser encontrada no navegador (status de retorno HTTP 404). Mais informações sobre técnicas de cloaking são abordadas no vídeo correspondente à Etapa 5: avalie o dano (spam) no processo de recuperação Ajuda para sites invadidos.

Em vez de usar o navegador, você pode confirmar se páginas com spam foram adicionadas ao site por meio de um dos seguintes métodos:

  • Use “Fetch as Google” in Webmaster Tools:
    Google’s free Search Console provides a feature called “Fetch as Google” that you can use to see a page on your site as Google machines see it. This is useful since many hackers make changes that are visible only to Google machines. For example, they might add links to their site from yours that are only rendered when the referrer is Google.
  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Na saída de "Buscar como Google", Wget ou cURL, você pode ver o conteúdo da página suspeita recém-adicionada.

Como posso limpar meu site do tipo de invasão "Injeção de URL"?

Quando estiver pronto para limpar seu site (Etapa 7 do processo de recuperação Ajuda para sites invadidos), você pode substituir os diretórios afetados pelo último backup em bom estado ou remover as páginas não desejadas e os arquivos ou funções usados pelo hacker para criá-las.

Esteja ciente de que remover as páginas maliciosas não resolve a vulnerabilidade subjacente que permitiu ao hacker comprometer inicialmente o site. Sem corrigir a causa raiz, o site pode ser invadido novamente no futuro. Um recurso útil, por exemplo, é atualizar qualquer software que esteja executando o site, como uma instalação antiga do WordPress. Para mais informações sobre a limpeza de todo o site, não apenas o invadido, consulte "Avaliação dos danos ao sistema de arquivos" na Etapa 5: avalie o dano (spam) do processo de recuperação Ajuda para sites invadidos.

Isso foi útil?
Como podemos melhorá-lo?