The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Correção da invasão de conteúdo sem sentido

Este guia foi criado especificamente para um tipo de invasão que adiciona páginas com conteúdo sem sentido e cheias de palavras-chave ao site, a qual chamamos de invasão com conteúdo sem sentido. Este guia foi projetado para usuários dos Sistemas de gerenciamento de conteúdo mais conhecidos (CMS, na sigla em inglês), mas será útil mesmo se você não usar um CMS.

Observação: você não tem certeza se o site foi invadido? Comece com a leitura do guia sobre como verificar se o site foi invadido.

Índice

Como identificar esse tipo de invasão

A invasão com conteúdo sem sentido cria automaticamente várias páginas com frases sem sentido e cheias de palavras-chave no seu site. Essas páginas não foram criadas por você, mas têm URLs que podem convencer os usuários a clicarem neles. Os hackers fazem isso para que as páginas invadidas apareçam na Pesquisa Google. Então, se as pessoas tentarem acessar uma dessas páginas, elas serão redirecionadas para uma página não relacionada, como um site pornográfico. Os hackers ganham dinheiro quando as pessoas visitam essas páginas não relacionadas. Veja alguns exemplos do tipo de arquivo que você poderá ver em um site afetado pela invasão de conteúdo sem sentido:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Às vezes, eles aparecem em uma pasta composta por caracteres aleatórios e com idiomas diferentes:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Comece pela verificação da ferramenta Problemas de segurança no Search Console para ver se o Google descobriu alguma dessas páginas invadidas no site. Às vezes, também é possível descobrir páginas como essas ao abrir uma janela da Pesquisa Google e digitar site:your site url, com o URL do nível da raiz do seu site. Isso mostrará as páginas do seu site que o Google indexou, incluindo as páginas invadidas. Confira algumas páginas dos resultados da pesquisa para ver se você consegue identificar URLs incomuns. Caso não encontre conteúdo invadido na Pesquisa Google, use os mesmos termos de pesquisa em um mecanismo de pesquisa diferente. Veja abaixo um exemplo disso.

Os resultados da pesquisa contêm várias páginas que não foram criadas pelo proprietário do site. Se você ler com atenção as descrições, verá exemplos do texto sem sentido criado por essa invasão.

Normalmente, ao clicar em um link para uma página invadida, você é redirecionado para outro site ou vê uma página cheia de conteúdo sem sentido. No entanto, talvez você encontre uma mensagem informando que a página não existe (por exemplo, um erro 404). Não se deixe enganar! Os hackers tentarão fazer com que você acredite que a página saiu do ar ou foi corrigida, mas ela ainda está invadida. Eles fazem isso com técnicas de cloaking de conteúdo. Verifique se há técnicas de cloaking inserindo os URLs do site na ferramenta Fetch as Google. Com a ferramenta Fetch as Google, você pode ver o conteúdo escondido subjacente.

Se você vir esses problemas, seu site provavelmente foi afetado por esse tipo de invasão.

Como corrigir a invasão

Faça uma cópia off-line dos arquivos que quer remover, caso precise restaurá-los mais tarde. Ou então, faça backup do site inteiro antes de iniciar o processo de limpeza. É possível fazer isso salvando off-line todos os arquivos de seu servidor ou procurando as melhores opções de backup para seu CMS específico.

Verificar o arquivo .htaccess (2 etapas)

A invasão com conteúdo sem sentido redireciona os visitantes do site com o arquivo .htaccess.

Etapa 1

Localize o arquivo .htaccess no site. Se você não tiver certeza de onde encontrá-lo e estiver usando um CMS, como WordPress, Joomla ou Drupal, pesquise "local do arquivo .htaccess" em um mecanismo de pesquisa junto com o nome do CMS. Dependendo do site, você encontrará vários arquivos .htaccess. Faça uma lista com todos os locais dos arquivos .htaccess.

Observação: muitas vezes, o .htaccess é um "arquivo oculto". Ative a exibição de arquivos ocultos ao procurar por ele.

Etapa 2

Substitua todos os arquivos .htaccess por uma versão limpa ou padrão. Normalmente, é possível encontrar uma versão padrão do arquivo .htaccess pesquisando por "arquivo .htaccess padrão" e o nome do CMS. Para sites com vários arquivos .htaccess, encontre a versão limpa de cada um deles e faça a substituição.

Se não houver um .htaccess padrão e você nunca tiver configurado um arquivo .htaccess no site, o arquivo .htaccess que você encontrar no site provavelmente será malicioso. Por segurança, salve uma cópia off-line dos arquivos .htaccess e exclua-os do site.

Localizar e remover outros arquivos maliciosos (5 etapas)

Identificar arquivos maliciosos pode ser complicado e demorar várias horas. Leve o tempo que precisar para verificar os arquivos. Este é um bom momento para fazer backup dos arquivos do site, caso ainda não tenha feito. Pesquise no Google "backup de site" e o nome do CMS para encontrar instruções sobre como fazer isso.

Etapa 1

Se você usar um CMS, reinstale todos os arquivos principais (padrão) que vêm na distribuição padrão do CMS, além de tudo o que você tiver adicionado (como temas, módulos e plug-ins). Isso ajuda a garantir que esses arquivos não tenham conteúdo invadido. Pesquise no Google "reinstalar" e o nome do CMS para encontrar instruções sobre o processo de reinstalação. Se você tiver plug-ins, módulos, extensões ou temas, reinstale-os também.

A reinstalação dos arquivos principais pode fazer com que você perca as personalizações feitas. Faça backup do seu banco de dados e de todos os arquivos antes da reinstalação.

Etapa 2

Agora é necessário procurar outros arquivos maliciosos ou comprometidos. Essa é a parte mais difícil e demorada do processo, mas ao final, já estará quase tudo pronto.

Essa invasão normalmente deixa dois tipos de arquivos: txt e php. Os .txt são arquivos de modelo e os .php determinam o tipo de conteúdo sem sentido que será carregado para o site. Comece procurando os arquivos .txt. Dependendo de como você se conecta ao site, verá algum tipo de funcionalidade de pesquisa de arquivos. Pesquise ".txt" para abrir todos os arquivos com essa extensão. A maioria desses arquivos de texto é legítima, como acordos de licença, arquivos "leia-me", dentre outros. Você precisa encontrar um determinado conjunto de arquivos .txt que contêm código HTML usado para criar modelos com spam. Veja abaixo snippets de diferentes partes de código que podem ser encontrados nesses arquivos .txt maliciosos.

Os hackers substituem palavras-chave para criar páginas com spam. Você provavelmente verá algum tipo de palavra genérica que será substituída em todo o arquivo invadido.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

Além disso, a maioria desses arquivos contém algum tipo de código que coloca links e texto com spam na página visível.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Remova esses arquivos .txt. Se eles estiverem todos na mesma pasta, será possível remover a pasta inteira.

Etapa 3

Os arquivos PHP maliciosos são um pouco mais difíceis de encontrar. Pode haver um ou vários arquivos PHP maliciosos no site. Eles podem estar todos no mesmo subdiretório ou espalhados pelo site.

Não se preocupe achando que vai precisar abrir e examinar todos os arquivos PHP. Comece criando uma lista de arquivos PHP suspeitos que você quer investigar. Veja algumas maneiras de determinar quais arquivos PHP são suspeitos:

  • Como você já atualizou os arquivos do CMS, verifique somente os arquivos que não fazem parte dos arquivos ou pastas padrão do CMS. Isso eliminará um grande número de arquivos PHP e deixará você com menos arquivos a serem examinados.
  • Classifique os arquivos do site pela data da última modificação. Procure arquivos que foram modificados nos meses anteriores ao momento em que você descobriu pela primeira vez que o site foi invadido.
  • Classifique os arquivos do site por tamanho. Procure os arquivos muito grandes.

Etapa 4

Depois de fazer uma lista de arquivos PHP suspeitos, verifique se eles são normais ou maliciosos. Se você não estiver familiarizado com PHP, esse processo pode ser mais demorado. Por isso, recomendamos consultar a documentação sobre o PHP. Contudo, mesmo que você seja totalmente leigo em codificação, existem alguns padrões básicos que você pode procurar para identificar arquivos maliciosos.

Primeiro, analise os arquivos suspeitos já identificados para procurar blocos grandes de texto com uma combinação de letras e números aparentemente sem sentido. Em geral, o bloco grande de texto é precedido por uma combinação de funções PHP como base64_decode, rot13, eval, strrev, gzinflate. Veja abaixo um exemplo desse bloco de código. Muitas vezes, todo esse código está em uma linha longa de texto, o que faz com que ele pareça menor do que realmente é:

<!--Hackers try to confuse webmasters by encoding malicious code into blocks
of texts. Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Às vezes, o código não está desorganizado e parece um script normal. Caso você não tenha certeza se o código está ou não corrompido, acesse os Fóruns de Ajuda para webmasters, onde um grupo de webmasters experientes poderá ajudá-lo a examinar os arquivos.

Etapa 5

Agora que você sabe quais arquivos são suspeitos, crie um backup ou uma cópia local e salve os dados no seu computador, no caso de os arquivos não serem maliciosos, e exclua os arquivos suspeitos.

Verificar se o site está limpo

Depois de remover os arquivos invadidos, verifique se o trabalho valeu a pena. Você se lembra das páginas sem sentido identificadas anteriormente? Use a ferramenta Fetch as Google novamente para ver se elas ainda existem. Se a resposta do Fetch as Google for "Não encontrado", é provável que o site esteja em boas condições.

Também é possível seguir as etapas no Solucionador de problemas para sites invadidos para verificar se ainda há conteúdo invadido no site.

Como evitar ser invadido novamente?

A correção de vulnerabilidades é uma etapa final essencial para a correção do site. Um estudo recente descobriu que 20% dos sites invadidos são invadidos novamente dentro de um dia. É importante saber exatamente como o site foi invadido. Leia o guia Formas mais comuns de invasão de websites por criadores de spam para começar sua investigação. No entanto, se você não conseguir descobrir como seu site foi invadido, veja abaixo uma lista de verificação de medidas que você pode tomar para reduzir as vulnerabilidades do site.

  • Faça uma varredura regularmente no seu computador: use um programa antivírus confiável para verificar a presença vírus ou vulnerabilidades.
  • Troque suas senhas regularmente: trocar regularmente as senhas de todas as contas do seu website, como a senha do provedor de hospedagem, do FTP e do CMS, pode impedir o acesso não autorizado ao site. É importante criar uma senha forte e exclusiva para cada conta.
  • Use a autenticação de dois fatores (2FA): recomendamos a ativação da 2FA em todos os serviços que exijam login. A 2FA dificulta o login de hackers, mesmo que eles roubem sua senha.
  • Atualize regularmente o CMS, plug-ins, extensões e módulos: se tudo estiver certo, você já deve ter feito esta etapa. Muitos sites são invadidos por causa de um software desatualizado sendo executado no site. Alguns CMSs são compatíveis com a atualização automática.
  • Considere se inscrever em um serviço de segurança para monitorar o site: há muitos serviços excelentes que podem ajudar você no monitoramento do site por uma pequena taxa. Recomendamos que você faça registro em um deles para manter o site seguro.

Outros recursos

Se você ainda estiver com problemas para corrigir o site, há mais alguns recursos que podem ajudá-lo.

Estas ferramentas fazem a varredura do site e podem encontrar conteúdos problemáticos. O Google não desenvolve nem oferece suporte para essas ferramentas, a não ser a VirusTotal.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: são algumas ferramentas que podem fazer a varredura do site em busca de conteúdos problemáticos. Esses scanners não garantem a identificação de todos os tipos de conteúdo problemático.

Veja outros recursos do Google que podem ajudar você:

Não encontra nenhuma ferramenta que pode ser útil? Dê seu feedback e nos avise.