Тип взлома: внедрение через URL

Что значит, если в Google Search Console для страниц отображается статус "Внедрение через URL"?

Это означает, что хакер создал на вашем сайте новые страницы. Скорее всего, на них есть спам в виде текста или ссылок. Иногда новые страницы содержат код, который выполняет нежелательные действия, например перенаправляет ваших посетителей на другие сайты или делает их участниками DDOS-атаки.

Как правило, хакеры взламывают сайт, воспользовавшись одной из перечисленных ниже трех лазеек.

  • Получают доступ к незащищенному каталогу на сервере. Например, если вы случайно настроили для какого-либо каталога слишком высокий уровень разрешений.
  • Используют уязвимость в программном обеспечении, которое работает на сайте, скажем, в системе управления контентом. Например, если вы используете устаревшую и небезопасную версию WordPress.
  • Взламывают сторонние плагины на сайте, например счетчики посетителей.

Оценить масштаб внедрения спама можно на шаге 5 процедуры по восстановлению сайтов, взломанных для распространения спама.

Как проверить, размещал ли хакер на сайте страницы со спамом?

Начните расследование с проверки URL, указанных в полученном уведомлении, или на странице "Проблемы безопасности" в Search Console.  Подробно записывайте, что вы обнаружили по каждому из адресов.

Ниже перечислены методы, которые позволят вам найти новые страницы на сайте, даже если он закрыт на карантин.

  • Используя оператор site:, выполните поиск в Google по вашим страницам. Обратите внимание, что после двоеточия не должно быть пробела перед именем домена, например [site:example.com]. В результатах поиска будут все страницы с вашего сайта, проиндексированные Google. Проверьте, нет ли среди них страниц, которые вы явно не создавали. Если на вашем сайте много контента, используйте более узкие запросы, например [site:example.com виагра], [site:example.com/wp-admin/] или [site:example.com inurl:hacked.php].
  • Также вы можете войти на сервер через оболочку или терминал и проверить наличие страниц, указанных в разделе "Внедрение через URL" на странице "Проблемы с безопасностью".

Не просматривайте новые страницы в браузере. Они могут содержать вредоносное ПО, которое зачастую распространяется, используя уязвимости браузера. Если не следовать этому совету, ваш компьютер может быть взломан. И даже если хакер не размещал на новых страницах вредоносное ПО, то, что появляется у вас в браузере, может отличаться от контента, который видят пользователи и Google, поскольку хакеры часто маскируют спам.Вполне вероятно, что вы увидите пустую страницу или получите сообщение о том, что файл не найден (код статуса HTTP 404). Если вам нужны дополнительные сведения о маскировке, посмотрите видео в разделе, который посвящен процедуре восстановления сайтов, взломанных для распространения спама.

Чтобы проверить наличие спама на сайте, используйте вместо браузера один из следующих инструментов:

  • Use “Fetch as Google” in Webmaster Tools:
    Google’s free Search Console provides a feature called “Fetch as Google” that you can use to see a page on your site as Google machines see it. This is useful since many hackers make changes that are visible only to Google machines. For example, they might add links to their site from yours that are only rendered when the referrer is Google.
  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Открывайте новые подозрительные страницы с помощью Wget, cURL или команды "Просмотреть как Googlebot".

Как очистить сайт от внедрения через URL?

Завершив подготовку, выполните шаг 7 процедуры по восстановлению взломанных сайтов. Например, вы можете восстановить сайт из последней надежной резервной копии или вручную удалить нежелательные страницы, файлы и код, который хакер использовал для их создания.

Обратите внимание, что удаление созданных хакером страниц не исправляет исходную уязвимость, которая позволила ему взломать ваш сайт. Если не устранить ее, злоумышленники могут снова проникнуть на ваш сайт. Рекомендуем принять меры, чтобы обезопасить сайт. Например, нелишним будет полностью обновить используемое на нем ПО. Подробнее об удалении с сайта вредоносного ПО различных типов читайте в разделе "Оцените масштаб вмешательства в файловую систему" шага 5 процедуры по восстановлению сайтов, взломанных для распространения спама.

Эта информация оказалась полезной?
Как можно улучшить эту статью?