Les résultats de recherche pour mon site Web montrent du contenu qui n'est pas le mien, y compris la pharmacie (Viagra et Cialis)

14

J'ai un site Web et lorsque j'essaie une recherche comme celle- site:dichthuatviettin.comci : cela me donne un tas de résultats comme celui-ci:

Exemple de capture d'écran du résultat
Ces pages n'existent pas sur mon site, comment y sont-elles arrivées?

Je ne sais plus ce qui se passe avec mon site web! Une aide ou une explication pourquoi cela se produit?

user41724
la source
Votre site est-il construit sur Joomla ou Wordpress?
Wexford
Non, c'est le cadre de mon entreprise
user41724
8
Ces pages ne existent sur votre site. Je peux y accéder sans problème dès maintenant.
Agent_L
3
Vous avez été piraté par le piratage Pharma ... C'est un cauchemar absolu de nettoyer complètement - recherchez tous les fichiers de votre site Web cryptés avec base64. Souvent, vous ne verrez pas ce code de spam sur vos pages comme certaines des autres réponses suggèrent un nettoyage, car il n'est visible que par Googlebot.
zigojacko

Réponses:

22

Votre site Web a été compromis et est utilisé par les référents Blackhat. C'est une chose assez courante chez les spammeurs et autres. Jetez un œil à: Mon site a été piraté - et maintenant? , par Google.

  1. Téléchargez une sauvegarde de votre site Web. Assurez-vous que vous sauvegardez également la base de données, pas seulement les fichiers.
  2. Contactez votre hébergeur et expliquez la situation.
  3. Vérifiez si votre logiciel est obsolète (Joomla, Wordpress). Faites de même pour tous vos plugins . Recherchez autour de vous pour voir si quelqu'un d'autre a signalé des vulnérabilités dans les plugins que vous utilisez.
  4. Modifiez tous les mots de passe et noms d'utilisateur FTP.
  5. Assurez-vous que votre connexion administrateur est sécurisée. Utilisez des noms d'utilisateur autres que "admin" et "utilisateur". Modifiez votre mot de passe et assurez-vous qu'il n'est pas facile à deviner. Assurez-vous que votre site protège contre les attaques par force brute, car les robots essaient constamment de pénétrer dans les panneaux Wordpress (deux de mes sites Web Wordpress voient des attaques quotidiennement).
  6. Supprimez le site pour le moment jusqu'à ce que vous ayez résolu le problème. Faites ce que Google suggère et renvoyez un code d'état HTTP 503.
  7. Si le site est personnalisé, contactez les développeurs.
  8. Une fois qu'une partie de votre site Web a été compromise, vous devez supposer que tout sur votre site Web a été compromis.
  9. Un nettoyage complet et une nouvelle réinstallation de votre logiciel (Wordpress, Joomla) s'imposent. Parfois, les pirates laisseront des scripts de porte dérobée qui leur donneront un accès à distance ou ils injecteront du code dans les parties centrales de votre logiciel.
  10. Essayez d'éviter d'appliquer les autorisations 777 aux répertoires.
Wexford
la source
8
Important Avant de réinstaller / effacer / annuler / quoi que ce soit, découvrez comment ils l'ont fait. Sinon, ils recommenceront.
Martijn
FWIW parfois ces hacks ne sont visibles que pour les moteurs de recherche (adresses IP ou agents utilisateurs), vérifiez avec un outil comme Fetch as Google si vous n'êtes pas sûr: googlewebmastercentral.blogspot.ch/2009/11/…
John Mueller
5

On dirait que vous avez été «piraté». Quelqu'un a trouvé une méthode pour télécharger des pages sur votre serveur et les a indexées. Parcourez votre site / base de données et effectuez une recherche deap pour ces mots clés.

Astuce: avec la ligne de commande, vous pouvez rechercher et trier des fichiers à la dernière date d'édition (cela ne dure que 25):

find . -type f -printf '%T@ %p\n' | sort -n | tail -25 | cut -f2- -d" "

Après cela, vérifiez les trous, les mauvais droits, vos téléchargements, etc. S'il s'agit d'un site Wordpress, Joomla Drupal ou d'un autre framework, lisez la sécurité de ce framework. Les «pirates» adorent ces sites et les exploitent avec des robots.

Martijn
la source
4

Cela m'est arrivé il y a quelque temps sur un serveur partagé. La liste de Wexford est assez complète, mais je voulais inclure que l'attaquant a également ajouté sa propre clé sous.ssh/authorized_keyset a pu réinfecter mon site après avoir tout supprimé. Je ne sais pas si c'est le cas dans votre configuration, mais le fait d'être sur un serveur partagé peut vous exposer à des attaques par d'autres sites (utilisateurs) compromis sur le même serveur. Tous les répertoires accessibles en écriture peuvent avoir des shells Web déposés par n'importe quel utilisateur sur le serveur, et tous les fichiers d'application lisibles par le monde contenant les informations d'identification de la base de données peuvent être lus par d'autres utilisateurs, de sorte que votre application Web n'a pas besoin d'être vulnérable pour être compromis. Le renforcement des autorisations sur tous les fichiers / répertoires sensibles est un bon début, et la suppression du bit lisible par le monde (mais en laissant le bit exécutable) sur l'un des répertoires les plus élevés est une autre bonne étape.

Matt Barry
la source