I risultati di ricerca del mio sito web mostrano contenuti che non sono miei, inclusa la farmacia (Viagra e Cialis)

Ho un sito Web e quando provo una ricerca come questa: site:dichthuatviettin.commi dà un sacco di risultati come questo:

Quelle pagine non esistono sul mio sito Web, come ci sono arrivate?

Non so più cosa sta succedendo con il mio sito Web! Qualche aiuto o spiegazione sul perché questo accada?

Il tuo sito Web è stato compromesso e viene utilizzato da SEO blackhat. Questa è una cosa abbastanza comune tra gli spammer e simili. Dai un'occhiata a: Il mio sito è stato violato - e adesso? , da Google.

1. Scarica un backup del tuo sito Web. Assicurarsi di eseguire anche il backup del database, non solo dei file.
2. Mettiti in contatto con il tuo host web e spiega la situazione.
3. Controlla se il tuo software non è aggiornato (Joomla, Wordpress). Fai lo stesso per tutti i tuoi plugin . Cerca in giro per vedere se qualcun altro ha segnalato delle vulnerabilità nei plugin che usi.
4. Modifica tutte le password e i nomi utente FTP.
5. Assicurati che il tuo login amministratore sia sicuro. Utilizzare nomi utente diversi da "admin" e "user". Cambia la tua password e assicurati che non sia facile da indovinare. Assicurati che il tuo sito protegga dagli attacchi di forza bruta poiché i robot cercano costantemente di entrare nei pannelli di Wordpress (due dei miei siti Web basati su Wordpress vedono gli attacchi su base giornaliera).
6. Abbassa il sito per il momento fino a quando non hai risolto il problema. Fai ciò che Google suggerisce e restituisci un codice di stato HTTP 503.
7. Se il sito è personalizzato, contattare gli sviluppatori.
8. Una volta che una parte del tuo sito Web è stata compromessa, dovresti supporre che tutto sul tuo sito Web sia stato compromesso.
9. È necessario eseguire una pulizia completa e una nuova reinstallazione del software (Wordpress, Joomla). A volte, gli hacker lasceranno script backdoor che danno loro accesso remoto o inietteranno codice nelle parti principali del software.
10. Cerca di evitare di applicare 777 autorizzazioni alle directory.

Sembra che tu sia stato "hackerato". Qualcuno ha trovato un metodo per caricare pagine sul tuo server e le ha indicizzate. Vai sul tuo sito / database ed esegui una ricerca approfondita per quelle parole chiave.

Suggerimento: con la riga di comando è possibile trovare e ordinare i file nell'ultima data di modifica (questa dura per 25):

find . -type f -printf '%T@ %p\n' | sort -n | tail -25 | cut -f2- -d" "

Successivamente, verifica la presenza di buchi, diritti errati, i tuoi caricamenti, ecc. Se si tratta di un sito Wordpress, Joomla Drupal o di un altro framework, leggi sulla sicurezza di quel framework. Gli "hacker" adorano questi siti e li sfruttano con i robot.

Mi è successo per un po 'di tempo su un server condiviso. L'elenco di Wexford è piuttosto completo, ma volevo includere che anche l'attaccante ha aggiunto la propria chiave sotto.ssh/authorized_keysed è stato in grado di reinfettare il mio sito dopo aver rimosso tutto. Non sono sicuro se questo è il caso nella tua configurazione, ma trovarti su un server condiviso può esporti agli attacchi di altri siti (utenti) compromessi sullo stesso server. Qualsiasi directory scrivibile a livello mondiale può far cadere le shell Web da qualsiasi utente sul server e qualsiasi file di applicazione leggibile a livello mondiale contenente credenziali di database può essere letto da altri utenti, quindi l'applicazione Web non deve essere vulnerabile per essere compromessa. L'indurimento delle autorizzazioni su tutti i file / directory sensibili è un buon inizio e rimuovere il bit leggibile in tutto il mondo (ma lasciando il bit eseguibile) su una delle directory più in alto è un altro buon passo.