Autore Topic: deface per aumentare il ranking, inserimento di backlink a tua insaputa (Letto 6700 volte)

giusebos · « **il:** 05 Ago 2016, 00:13:03 »

Il deface per aumentare il ranking, è una tecnica di defacciamento che mira ad aggiungere link esterni al sito che puntano a e-commerce dove si vende merce contraffatta.

Nell'ultimo periodo questo sito bestsky.co si è fatto gioco di molti proprietari di siti fra cui il sottoscritto: mi sono ritrovato nella serp link tipo icagenda.it/2016-Nuovo-Louis-Vuitton-Monogram-alma-satchel-di-trasporto-56%-sconto.htm

E' stato Marine a farmi notare questa cosa, si era messo a giocare con il mio sito con un software per l'analisi SEO. Pensavo di trovare dei nuovi articoli o delle nuove voci di menù, ed invece nulla.

Lo proporro per un encomio solenne al prossimo Joomladay

Inutile poi starvi a dire che joomla e le poche estensioni sono tutte aggiornate.

Da una ricerca ho constatato che i siti hakerati sono moltissimi. Questo tipo di hakeraggio difficilmente lo riconosci se non ti imbatti in un link nella serp che ha come dominio ha quello del tuo sito, ma come pagina una completamente estranea e che ha una estensione htm anzichè html come Joomla.

Se provate a cercare con google "pochette Louis Vuitton", ed altri modelli di borse, noterete un arcobaleno di strani link a siti che nulla hanno a che vedere con borse di alta moda.

La maggiorparte dei siti sono tutti joomla, ma ho trovato anche qualche sito realizzato con wordpress.

Non sono riuscito ancora a dedicare del tempo per capire questi link da dove arrivano, ma da una ricerca del database e nei file non c'è traccia di questi link e nemmeno cercando stringhe codificate in base64.

Questa volta sono io che ho i fantasmi nel sito!

Appena mi libero da un pò di lavoro copio il sito su altro spazio e provo con la carta dell'esclusione eliminando estensione per estensione (che comunque sono poche) fino a rimanere con i soli file core di joomla.

per adesso ho inserito nell'htaccess una regola che riporta i link alla home, anche se non serve a niente almeno non ne trarranno vantaggio questi falsari.

Se avete qualche suggerimento lo accetto volentieri.

Giuseppe

MariaElenaBoschi · « **Risposta #1 il:** 05 Ago 2016, 09:14:16 »

https://www.google.it/search?q=spam+backlink

...guarda se è il tuo caso

giusebos · « **Risposta #2 il:** 05 Ago 2016, 09:32:37 »

No purtroppo, avevo cercato anche con altre key, ma non sono riuscito a trovare nessun caso simile su cui appoggirmi per farmi un idea.

giusebos · « **Risposta #3 il:** 05 Ago 2016, 09:52:52 »

Sembra che questi link siano come le teste d'IDRA, ogni volta che annulli un link ne rinascono altri 2!

Ho aggiornato dalla 3.6.0 alla 3.6.2 e vedo che il componente redirect intercetta le chiamate a questi link registrandoli come errori, così nel frattempo di scoprire l'origine li rideziono verso la home.

Forse l'aggiornamento a sostiuito un file "corrotto".

jeckodevelopment · « **Risposta #4 il:** 05 Ago 2016, 10:21:51 »

Molte volte Giuseppe la porta di accesso a queste schifezze è costituita dal template o da qualche "brutta pratica" che si trova nei quickstart.

giusebos · « **Risposta #5 il:** 05 Ago 2016, 10:31:07 »

Il template lo realizzato io ed è molto semplice e quindi nessuna quickstart

jeckodevelopment · « **Risposta #6 il:** 05 Ago 2016, 10:53:21 »

Plugin? Permessi?
Che tipo di spazio web hai?

MariaElenaBoschi · « **Risposta #7 il:** 05 Ago 2016, 11:12:32 »

sai che non ho capito dove li hai questi link? ... perchè secondo me non ce li hai. Cmq il plugin/componente redirect è una monnezza

giusebos · « **Risposta #8 il:** 05 Ago 2016, 11:56:38 »

Citazione da: MariaElenaBoschi - 05 Ago 2016, 11:12:32

sai che non ho capito dove li hai questi link? ... perchè secondo me non ce li hai. Cmq il plugin/componente redirect è una monnezza

se vai nella serp di google scrivendo site:www.icagenda.it, i primi tre link sono io che vendo le borse di Louis Vuitton

Il sito di destinazione era bestsky.c, adesso sembra tutto a posto dopo l'aggiornamento e la sovrascrittura di tutti i file del core di joomla.

giusebos · « **Risposta #9 il:** 05 Ago 2016, 11:59:36 »

Citazione da: jeckodevelopment - 05 Ago 2016, 10:53:21

Plugin? Permessi?
Che tipo di spazio web hai?

Ho una macchina virtuale che ho tarato (per le mie modeste conoscenze) su joomla, permessi sono i soliti 644 per i file e 755 per le cartelle.

Mi è rimasto da controllare alcuni siti di test che ho in alcuni sottodomini però

jeckodevelopment · « **Risposta #10 il:** 05 Ago 2016, 13:17:32 »

quello che non vorrei è che siano entrati da qualche altra parte e poi abbiano girato sul server

marine · « **Risposta #11 il:** 07 Ago 2016, 15:38:01 »

Citazione da: giusebos - 05 Ago 2016, 00:13:03

Lo proporro per un encomio solenne al prossimo Joomladay

Per così poco?

xplosion · « **Risposta #12 il:** 15 Set 2016, 15:46:20 »

Ciao Giuseppe,
come hai risolto (se hai risolto) la questione ?

giusebos · « **Risposta #13 il:** 15 Set 2016, 16:10:45 »

Dai log ho visto che sono state fatte delle modifiche ad alcuni file quando la versione di joomla era la 3.5.0
Mi sono accorto molto tardi di questo problema perchè questi link generati automaticamente non hanno compromesso gli articoli o il funzionamento di joomla, anche gli strumenti per webmaster non segnalavano niente e nemmeno qualche link strano su analytics. Anche le visite al sito non hanno subito variazioni confermando il trend di crescita.

Poi dopo la segnalazione di Marine (che voleva lo sconto per una borsa di Louise Vuitton

), ho analizzato il sito con un estensione gratuita per joomla: Antivirus WebSite Protection, che più che un antivirus è un comparatore di file, così l'estensione mi ha segnalato che 6 file erano diversi rispetto a quelli originali.

Dopo la sovrascrittura dei file con la versione 3.6.2, con l'apposita funzione tutto è ritornato nella normalità e i link nella serp stanno sparendo piano piano.

Questi delinquenti, mi avessero almeno passato qualche commissione sul venduto

xplosion · « **Risposta #14 il:** 15 Set 2016, 16:19:14 »

ma vedo c'è l'hai ancora la borsa

anch'io mi confronto con lo stesso problema e cerco di capire come sistemarla.

giusebos · « **Risposta #15 il:** 15 Set 2016, 16:27:56 »

Tra le altre cose, questo sistema viene usato anche su wordpress e su siti realizzati in asp, se fai una ricerca per borse louise vuitton, ti accorgerai quanti sito sono compromessi

marine · « **Risposta #16 il:** 15 Set 2016, 21:18:15 »

Citazione da: giusebos - 15 Set 2016, 16:10:45

Poi dopo la segnalazione di Marine (che voleva lo sconto per una borsa di Louise Vuitton )

Alla fine l'ho presa su Zalando

xplosion · « **Risposta #17 il:** 16 Set 2016, 09:53:00 »

Essendo nella tua stessa situazione, ho chiesto tramite Search Console, la rimozione di quei URL che erano indicizzati. E giusto ?
E basta questo?
Siccome ho tutto aggiornato, ho fatto una scansione online con virustotal, per vedere se ci sono dei file modificati, però mi dice che il sito è clean ed e tutto a posto. Da dove escono questi url ?

giusebos · « **Risposta #18 il:** 16 Set 2016, 10:21:01 »

io le url che erano (e qualcuna è ancora) indicizzate le ho redirette verso la home del sito. Eventualmente prova anche ad usare l'estensione che ho usato io.

xplosion · « **Risposta #19 il:** 16 Set 2016, 11:22:19 »

ho già utilizzato quella estensione ma mi ha dato solo dei falsi positivi.
quei pochi file segnalati come potenzialimente malevoli li ho verificati e comparati con gli originali, ma tutto a posto.