8.8.2018

Prodává Google na vašem webu léky?

Opravdu prodává?

Odpověď zní : Ne. Přesto si návštěvníci vašich stránek stěžují, že na nich prodáváte Viagru a vy o tom nic nevíte? Pak jste se stali obětí rafinovaného malwaru. Jedná se o Google Conditional Hack a rafinované je to, že kdykoli napíšete adresu stránky do svého prohlížeče, je vše v pořádku, takže vy jako správce jste spokojen, zatímco návštěvník, který si vás našel ve vyhledávači vidí něco docela jiného.

Důvod pro takové chování je zřejmy: útočník si přeje, aby správce nic nezjistil a vydrželo to tak co nejdéle. Zajímavé je, že ani Google search console nehlásí nic podezřelého, online antivirové aplikace jsou v klidu a skript po sobě maže stopy.

Vir  testuje, jakým způsobem se na stránky dostáváte a pokud je to z vyhledávače, spustí skript, kterým nahradí obsah stránek obsahem ze serveru, který se tváří, že ani není funkční. Virtuálně vytvoří skript na vašem webu stovky fiktivních stránek s lékovou tématikou, které se bohužel zapíšou do Google indexu, aniž o tom máte ponětí. Pokud někdo na takový odkaz klikne, dostane se na stránku s malwarem. Co to udělá s důvěryhodností Vašich stránek a SEO je jasné.

Jak zjistit, že něco není v pořádku?

Zjistit, že jsou stránky právě takto napadnuté se dá jednoduše porovnáním toho co se zobrazí po přímo zadané adrese a z odkazu ve výsledcích vyhledávání na Googlu. Kolik dalších nežádoucích stránek vyhledávač indexuje zjistíte napsáním site:vašedomena.domena_prvniho_řádu (cz). Pokud umíte zacházet se Search konzolí (Google webmaster’s tools), můžete si nechat stránku zobrazit jako Google.

Co s tím

Varianty viru se mohou lišit. Podezřelé jsou části skriptu s base64_ , protože tady může jít o pokus zamaskovat přesměrování. Kdo hledá slova, která se na stránce vyskytují a být tam nemají, ve zdrojovém kódu je nenajde. Příklad hacknutého WordPressu tímto malwarem je zde: https://malware.expert/malware/wordfence-security-plugin/ . V tomto případě je nejspíš využito zranitelnosti pluginu Wordfence.

Pokud je toto zrovna Váš případ, doporučuji Wordfence odinstalovat a nahradit jiným, například iThemes Security a provést pomocí něj důkladné zabezpečení. Dále nahradit změněný systémový soubor originálním a zkontrolovat přístupová práva souborů a složek. Doporučuje se změnit po útoku FTP a databázové přístupy (současně s přepsáním wp-config). Samozřejmě je potřeba mít vše stále aktualizované.

Nakonec Google

Po úspěšné opravě je potřeba něco udělat se stránkami, které Google zaindexoval. Všechny nadbytečné se nyní hlásí jako 404, stránka nenalezena, ale to jen říká vyhledávači, aby to zkoušel pořád znovu, zatímco v indexu stránky s viagrou zůstávají. Je dobré změnit to tak, aby se místo 404 zasílala hlavička 410 (gone – trvale odstraněné) a stránky z indexu vypadly. To lze provést tak, že se na stránku 404.php, nebo podobnou ještě před načtením header sekce vloží skript, který odešle hlavičku 410 a následně přesměruje na jinou stránku, která se bude tvářit na uživatele jako 404. stránka, ale bude docela běžná.

Příklad pro WordPress:

Vložte následující skript. $custom_410_page_ID bude id nově vytvořené stránky v Administrace > Stránky > Stránka nenalezena.


<?php
$custom_410_page_ID = 999;//Error 410 page ID
header($_SERVER["SERVER_PROTOCOL"] . " 410 Gone");
header("Refresh: 0; url=" . get_permalink($custom_410_page_ID));
exit();
?>

Pokud si na výše uvedené netroufáte, kontaktujte mě.