Skip to content

Cómo Solucionar un Ataque de Spam Blackhat SEO Japonés

January 18, 2018

Detectar que has sido víctima de un ataque

Mis visitas han caído en picado. Mis usuarios reciben notificaciones en sus navegadores de que están visitando una web con malware. Y lo que faltaba!! Resulta que reviso mis páginas de referencia para una keyword concreta y me salen en Japonés!! 🙂

Blackhat SEO en Japonés

Investigando un poco, veo que esto es un ataque de Spam Blackhat SEO, que evidentemente busca hacer SEO negativo (y que realmente lo ha logrado). Al parecer esto ya le ha sucedido a más personas:

https://productforums.google.com/forum/#!topic/webmasters/z5f7NAWNh6A;context-place=forum/webmasters

https://www.getastra.com/blog/911/how-to-remove-japanese-seo-spam-from-website/

 

Alternativas para solucionar el problema

Seguro que hay muchas formas de corregir esto. La más sencilla es restaurando un backup de un mes atrás. Es duro, porque perderás información, pero realmente es lo más directo hacia la solución. Quizás puedes restaurar solo los ficheros, y no la base de datos (aunque realmente teniendo en cuenta que WordPress genera contenido dinámico basado en base de datos y que además las cuentas de los hacker también están en base de datos, te recomiendo restaurar también la base de datos).

Esto es un claro ejemplo de porqué hay que separar en webs/entornos separados (incluso cuentas de hosting distintas) las webs de entrega de tus infoproductos (money sites) de tus webs de SEO (publicación digital). Porque restaurar ahora un backup te hace perder toda la historia de transacciones de tu money site.

Aún así, decido que me voy a dar 2 días (48 horas) para tratar de resolver el problema. Si no lo logro en el plazo establecido, simplemente restauraré un mes atrás.

Identificando los distintos problemas

Analizo las entradas que hay en Google Search y observo que hay varios problemas, en concreto al menos 3 problemas distintos:
1) Han creado un /blog en mi site. Mi site no tiene ningun /blog, porque yo lo construí directamente en el root.
2) El malware ha podido entrar a mi cuenta de hosting a través de un entorno de testing (que yo construí en el subdirectorio .dev). Ya se sabe que estos entornos a veces no los tenemos actualizados y son mucho más vulnerables a ataques.
3) Además tengo páginas directamente infectadas, que no corresponden a las problemáticas 1 y 2.

Mi primera acción: eliminar sites en desuso

Mi primera acción será eliminar por completo el directorio del entorno de desarrollo (dev). De esta forma soluciono el punto 2.

varios problemas

Segunda acción: eliminar blogs parásitos

Mi segunda acción será eliminar por completo el directorio /blog, en concreto veo que existe un script php que está creando spam posts automáticamente: /blog/vqehut.php

Básicamente se han montado un spam blog dentro de mi site (que tiene más de 1970 entradas!!):
spam blog

A corto plazo, voy a eliminarlo. Pero esto no garantiza que no vuelvan a contruir otro, básicamente porque no sé por dónde han entrado (y si disponen de una cuenta/puerta trasera para volver a hacerlo).

Entonces busco si otras de mis webs están también infectadas, y efectivamente lo están!! 🙁

mas sitios infectados

 

Básicamente, conviene revisar los directorios que tengo en el root de cada site, y eliminar todos aquellos que no sean estándar.

Compruebo que todas las entradas entrantes con la palabra “japan” vienen precisamente de ese blog spam que se ha creado dentro de mi site:

japan blog

 

La curiosidad me lleva a verificar si todavía tengo más sites infectados, y el resultado muestra la embergadura del error de utilizar una sola cuenta de hosting para albergar muchas webs:

japan spam

 

En definitiva, esto me hace descartar la opción de restaurar de backup, y voy a tener que resolver el tema (salvo que opte por restaurar la cuenta completa del hosting).

Tercera acción: revisar los .htaccess de cada blog

La mayoría de los malware introducen código en tu fichero .htaccess para redirigir tráfico hacia una web suya. Aquí puedes encontrar más detalles:

https://blog.sucuri.net/2010/04/conditional-redirects-or-the-htaccess-malware.html

https://www.inmotionhosting.com/support/website/hacks/cleaning-up-a-htaccess-hack

https://www.stopthehacker.com/2012/11/05/how-to-discover-and-remove-malicious-redirects-in-the-htaccess-file/

Truco para eliminar malware facilmente de tu blog WordPress

Al final he encontrado este artículo que me ha ayudado muchísimo a eliminar el malware de mi cuenta de hosting:

https://securepress.org/tutorial-how-to-remove-malware.php

 

commentarios