No estás registrado (Registrarse)

Vanilla 1.1.10 es un producto de Lussumo. Para más información: Documentación, Soporte.

Desarrollo Web: Virus de ftp [lizamoon] - imgaaa.net - ¡cuidado! inyección de código en sitios web - Info/ayuda -

Abajo

1 a 40 de 43

  1. <
  2. 1
  3. 2
  4. >
  1.  # 1
    No se si alguno ha tenido la desgracia de verse atacado por este virus de ftp.

    Básicamente lo que hace es "pillar" los datos de ftp del gestor para luego subir una serie de archivos encriptados al server + la modificación de todos los archivos index.html y index.php con una bonita línea al final de cada uno tipo: <img heigth="1" width="1" border="0" src="http://imgaaa.net/t.php?id=9193694">
    Al parecer muy muy dañino no es, ya que google puede cachear páginas donde aparezca la citada linea sin detectarlo como "software malicioso" y por tanto no nos veremos "agraciados" con la famosa "este sitio puede dañar tu equipo" lo cual es más que bueno. (lo otro seria LO PEOR)

    Por contra, el archivo empieza a crear carpetas en las que crea unos 10.000 - 15.000 archvios de media que luego google indexa gustosamente, todo claro acompañado de una serie de rewrites en el .htaccess

    Bueno, si alguien ha tenido el gusto de topar con dicho "elemento", le estaré agradecido que comparta toda la info al respecto.

    A los que estén aún a salvo, solo decir que las cuentas ftp mejor que sean para un ratito, crear -> subir lo que sea -> borrar, tengo la certeza de que el virus viene de un pc local ya que ha afectado server que están en distintos paises con lo que la cosa está clara.

    Edito:

    http://creatibot.com/virus-imgaaa-net-solucionado/

    http://www.sitepoint.com/forums/web-security-216/how-remove-virus-my-server-747159.html#post4850292Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthordamefuego
    • CommentTimeApr 3rd 2011
     # 2
    Posted By: ian_curtisBueno, si alguien ha tenido el gusto de topar con dicho "elemento", le estaré agradecido que comparta toda la info al respecto.

    Varias veces...te puede meter la linea de código en distintos lugares, generalmente va al index, pero he tenido casos que lo inyectó en el panel de administración que tienen mis script y en otro lado que ahora no recuerdo, poné el archivo .htaccess como oculto, creo que se filtra por ahí... en algún lado escuché eso
  3.  # 3
    Gracias por compartir la info damefuego

    ¿Y tema Base de Datos?, no parece que la haya tocado...

    Luego, en cada uno de los sitios en los que se ha "coaldo" ha dejado un bonito archivo con código encriptado tipo: <? eval(gzuncompress(base64_decode('eNqdWNtuGkkQ/ he mirado un poco por ahí pero no lo que he encontrado no me ha servido para desencriptar...

    - El nombre del archivo siempre un numero de dos cifras y en .php, en uno de los sitios he visto que modificando un .htaccess llamaba a dicho archivo en lo que parecía el sisitema para ir indexando toda la basura que había generado en forma de archivos .html en una carpeta llamada .log

    A parte del perjuicio que supone el tiempo que lleva eliminar el código inyectado, y la posible super indexación de contenido basura bajo un dominio propio si no se soluciona el problema a tiempo...¿cual es el benefició para el que ha montado todo este tinglado? A mi se me ocurre que tal vez trata de generar indexación a lo bestia con dominios externos que luego via la modificación que hace en el .htaccess redireccionen a otro sitio.

    Edito: Leo por ahí que el virus ftp puede llamarse "win32/kryptik" :boxing:

    Edito otra vez: Al parecer es un "trojan dropper", lo ha encontrado el "malwarebytes" en AppData/Local/Temp/

    Aunque el daño ya está hecho tranquiliza haber localizado el origen de todo.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorroot78
    • CommentTimeApr 4th 2011
     # 4
    Si la cuenta es multidominio, te infectará todas las carpetas. Revisa también en la carpeta donde tengas las imágenes. A mi me dejó el año pasado un index.php modificado también. Si tienes estáticas en html, también.Las bases de datos me aparecieron limpias con ese tipo de inyección. Suerte, y que no sea nada.La Curiosidad es el Principio de toda Filosofía.
    •  
      CommentAuthorPaco
    • CommentTimeApr 4th 2011 editado
     # 5
    el virus viene de un pc local ya que ha afectado server que están en distintos paises con lo que la cosa está clara.


    si, el virus es local, lo he sufrido, desde entonces ya no tengo claves en los clientes de ftp pero vamos no he investigado mas ...
    •  
      CommentAuthorzikuta
    • CommentTimeApr 4th 2011
     # 6
    Lo mejor para esto es no tener marcado el "recordar contraseña" en los clientes FTP que utilicéis.

    Saludos y suerte con la limpieza ;)Haters gonna hate.
    • CommentAuthorMrDominio
    • CommentTimeApr 4th 2011
     # 7
    Me habéis asustado, acabo de eliminar las contraseñas en el CuteFTP :smash:
    • CommentAuthortonipg39
    • CommentTimeApr 4th 2011
     # 8
    Ufff mas veces del que desearia habermelo encontrado. Lo jodido es eliminarlo puesto que suele reproducirse bastante rapido aun limpiando.
  9.  # 9
    Gracias a todos por el feedback.

    Además de los problemas que hemos detectado...¿hay alguna otra cosa a tener en cuenta? (si toca Bases de Datos, o si hay que controlar alguna cosa más)

    Nota: Más tarde explico el proceso seguido para la eliminación (o al menos el que estamos llevando a cabo que espero acaba con el 100%)Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorDomo Sapiens
    • CommentTimeApr 4th 2011 editado
     # 10
    hay algun test por alli que analize la seguridad de tu sitio?:pop2:

    No hay relacion con esto?
    http://www.bbc.co.uk/news/technology-12956919Domains for sale: BtcArg.com FondoBTC.com TravelDupes.com NubePrivada.com
  11.  # 11
    Si, tiene pinta de ser eso...por otro lado comentar que no es un factor a tener en cuenta la seguridad de los sitios en este caso (al menos en la infeccion inicial) ya que accede al los sitios via cuentas ftp robadas del gestor ftp mediante 1 troyano...

    Edito: Confirmo que es eso: http://www.20minutos.es/noticia/1010083/0/virus/lizamoon/websense/Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  12.  # 12
    Me comentan desde el Hosting que no ha tocado nada de Bases de Datos.

    Y parece que todo está ya limpio.

    Una vez nos dimos cuenta que habiamos sido atacados los pasos fueron:

    0.- Revisar log's de server para ver que cuentas ftp habían sido usadas para acceder y así saber cual era el pc local infectado.

    1.- Eliminar todas las cuentas ftp existentes de acceso a cualquier dominio, server o plan multidominio. En el caso de los servidores o multisitio cambiar las "contraseñas maestras"

    2.- Crear contraseñás ftp para dominios concretos (no multi),

    3.- Entrar y eliminar el archivo XX.php inyectado - lo que se estaba indexando era del tipo http://www.dominioculquiera/XX.php?blablabla.... -, eliminar los directorios que se habían creado con permisos 777,

    4.- Bajar el sitio entero. Buscar lineas maliciosas en todo el sitio, y eliminarlas (buscar es un proceso por lotes, eliminar es manual ya que el código numérico último cambia cada vez)

    5.- Subir el sitio y eliminar la cuenta ftp que se había usado para hacerlo.

    (Repetir la operación con cada dominio afectado)

    Ahora queda ir haciendo seguimiento los próximos días.

    Como datos adicionales...se trataba de unos 300 dominos afectados (sitios en que tienes simplemente una redirección 301 también son afectados si los encuentra en un plan multisite) y alrededor de 10.000 archivos, lo peor los joomla, lo más fácil todo lo que es programación própia, los wordpress no sufrieron mucho por cierto.

    Edito con más info que puede ser útil: Todo el ataque vino siempre desde la ip: 91.200.240.10Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorf-x
    • CommentTimeApr 4th 2011
     # 13
    Bueno, esta pasando un fenómeno en los últimos años. Los sitios Warez (software para pc) y Warez Scripts (scripts nulificados) trabajan en conjunto con seudo-hackers a sueldo que hacen ataques DDoS y con empresas SEO sin escrúpulos que ocultan backlinks o generan cualquier clase de ataque para conseguir su posicionamiento fraudulento. Por lo que cada vez es más común ver esta clase de virus (ya que no necesitan hackear los servidores, desde que tienen acceso a tus contraseñas en tu PC).

    Por lo que yo recomendaría a todos dos cosas...
    1) No bajar warez, ni scripts nulificados, ni abrir archivos pps, jpg, exe, zip desde correos electrónicos (aun viniendo de contactos o personas conocidas, ya que muchas veces los viruses usan cuentas de correos de amigos que también están infectados).
    2) Y bueno, luego de haber sufrido algún ataque de este tipo, recomendaría bajar y correr (con escaneo completo) malwarebytes.org y luego hacer un escaneo completo desde "Modo a prueba de fallos" con AVG Antivirus, ambos programas tienen versión gratuita y a diferencia de otras opiniones, para mi son los mejores sistemas gratuitos para esta clase de problemas.

    Saludos :webmainer:Hola!
    •  
      CommentAuthorDomo Sapiens
    • CommentTimeApr 4th 2011 editado
     # 14
    Yo lo conecte porque estoy estudiando eso de las compras de direcciones IP (MSFT compro 60,000 de la Nortel en bancarrota ) y todo esto tiene relacion con los DNSSEC , direcciones seguras para proteger (creo) contra ataques como este ( 1250,000 sitios) ....pero todavia no entiendo bien de que va esto...
    Si "lo que dije" no lo piensas mucho si le hallaras sentido :bro:Domains for sale: BtcArg.com FondoBTC.com TravelDupes.com NubePrivada.com
    •  
      CommentAuthormarosea
    • CommentTimeApr 4th 2011
     # 15
    Ian, muchas gracias por el reporte, pero no entiendo como se ha propagado por todos los dominios de una cuenta multidominio, si han entrado por un acceso FTP, a no ser claro que ese acceso sea el del admin.

    También he padecido códigos encriptados en mis sites, y todo se debe a infecciones vía troyano inyectado por email, y tiene como fin recolectar accesos ftp que tengas guardados en tu gestor.

    Desde que no guardo contraseñas en el gestor, ningún contagio :bigsmile::wink:

    SaludosLo urgente lo hacemos inmediatamente, para milagros tardamos un poco más.
  16.  # 16
    si infectaron a Itunes...
    que esperanza nos dejan.

    es dura la vida del desarrollador:first:Domains for sale: BtcArg.com FondoBTC.com TravelDupes.com NubePrivada.com
  17.  # 17
    Posted By: maroseano no entiendo como se ha propagado por todos los dominios de una cuenta multidominio, si han entrado por un acceso FTP, a no ser claro que ese acceso sea el del admin.


    En el caso de la cuenta multidominio que afectó, tal como dices lo hizo con el acceso admin.

    Por otro lado, si puedes ampliar mas sobre las veces que tuviste inyección de códigos encriptados en tus sitios, y la forma como limpiaste te lo agradecería. Ahora mismo creo que está ya todo limpio...pero la verdad que tranquilo tranquilo hasta que no pasen unas semana no creo que lo esté.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  18.  # 18
    Parece que en los 2-3 días que tuvimos la infección hubo tiempo de que se rastrearan algunas de las url's que creaba la infección, y aunque no aparecen "cacheadas" si están indexadas en google.

    Si alguien puede dar consejo en en el tema de la eliminación de este material, lo agradezco, por otra parte expongo lo que hemos hecho/estamos haciendo.

    En cualquier de los dominios infectados como dije anteriormene se había subido siempre un archivo numérico, tipo 56.php, y es en base a ese archivo que realizo toda la indexación, así que vemos en el index páginas del tipo: http://www.dominioinfectado.com/56.php=ajhdjd

    De entrada y como hemos eliminado esos archivos, si se accede a esas páginas devuelver error 404, y lo que hemos hecho es también poner en los robots.txt respectivos la siguiente linea: Disallow: /78.php?

    Alguien que tenga experiencia en el tema, ¿es suficiente?

    (en algunos casos son mas de 400 url's por lo que no creo que pueda hacerlo via webmaster tools)Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthordamefuego
    • CommentTimeApr 5th 2011
     # 19
    Posted By: ian_curtis(en algunos casos son mas de 400 url's por lo que no creo que pueda hacerlo via webmaster tools)

    Nada ... cuando vuelva a pasar el google bot y encuentre todo bien volverá a ponerese las cosas en su lugar.
    No me parece conveniente tocar nada ni robot.txt y mucho menos el google webmaster si esta funcionando bien todo ahora.
    Como mucho enviaría un nuevos sietmap.xml para invitar a l bot que vaya al tu web si la frecuencia de rastreo es distante, si es frecuente, nada..
    • CommentAuthormrpaco
    • CommentTimeApr 5th 2011
     # 20
    ayer mismo tuve oportunidad de ver un caso de infeccion.

    Desde una ip en Grecia se hicieron multiples conexiones ftp a varias cuentas de un servidor, se bajaba un index.algo y al momento lo volvia a subir modificado con el tag indicado repitiendo la operacion con cada fichero index

    tambien subia un fichero NN.php, donde NN es un numero de 2 digitos, el codigo de ese fichero era un script ofuscado mediante la tecnica de la descompresion, suelen ser puertas traseras para entrar cuando les plazca y poder ejecutar el codigo que deseen.

    Recomendaciones que damos a los clientes en estos casos.

    -Les cambiamos la clave de ftp, no se la damos hasta que su sistema este limpio, si se la dieramos antes seria como ponerla en manos del atacante y no serviria de nada.
    -Deben pasar un antivirus por sus ordenadores, suelen encontrar la infeccion.
    -Se revisan todos los ficheros que hayan sido subido o modificados en los ultimos dias ( fijandonos en mtime ahorramos mucho trabajo), eliminar el codigo malicioso o subir la copia local del archivo suele servir.
    -Si algun fichero no se sabe lo que es y tiene una fecha "reciente" es un buen sospechosoEx-cliente de OVH, ahora me comunico con ellos a traves de un abogado
  21.  # 21
    Posted By: damefuegoNada ... cuando vuelva a pasar el google bot y encuentre todo bien volverá a ponerese las cosas en su lugar.
    No me parece conveniente tocar nada ni robot.txt y mucho menos el google webmaster si esta funcionando bien todo ahora.
    Como mucho enviaría un nuevos sietmap.xml para invitar a l bot que vaya al tu web si la frecuencia de rastreo es distante, si es frecuente, nada..


    De lo que había indexado, etc...no ha afectado en nada y a nivel de tráfico, etc...todo sigue igual. Lo único es un aumento de páginas basuras indexadas, y lo que estamos intentando con lo que comento del robots.txt es acelerar la desindexación de un contenido que ahora devuelve error 404 pero que hasta que no eliminamos el citado archivo NN.php podía ser cualquier cosa - con la que no queremos estar relacionados -

    mrpaco

    Es eso, cuidado con los .htaccess y también con las carpetas nuevas que se hayan creado.

    Arriba recomendé una antivirus que "parece" encuentra el troyano.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    • CommentAuthormrpaco
    • CommentTimeApr 5th 2011
     # 22
    en el caso de este cliente no llegaron a crear esas estructuras de ficheros ni a manipular htaccess quiza simplemente no les dimos tiempo ;)Ex-cliente de OVH, ahora me comunico con ellos a traves de un abogado
    •  
      CommentAuthormarosea
    • CommentTimeApr 5th 2011 editado
     # 23
    Ian, mi experiencia poco puede aportar a lo ya comentado, es todo igual a lo comentado.

    Ojo normalmente el malware con el que recojen datos de acceso a ftp, los antivirus no los localizan. Yo tengo Kasperky de pago y no lo detectó. Hay que pasarle malwarebytes, lo recomiendo aunque tengais cualquier antivirus por bueno o de pago que sea, siempre encuentra algo y es gratis.

    Referente a la indexación de ulrs, pues el consejo de Damefuego, y poco más. Bueno si, paciencia, yo llegué a desaparecer de google, y ahi me tienes otra vez en 5 puesto.

    Yo he tenido (tengo) una guerra particular con el hacker, la verdad es que todavía no tengo muy claro si entra por ftp o algún bug del sitio (he mirado miles de cosas) el caso es que vamos como gato y ratón, el hace algo diferente cada vez, es decir, primero empezo modificando el htaccess, luego renombraba un archivo .php e insertaba su script que le daba acceso a todo en una carpeta donde hay imagenes, etc.. de momento hace mes y medio que no detecto nada.

    Un consejo a todos, a simple viste es imposible detectar ese tipo de hackeo, ya que solo se muestra a buscadores. Como detectarlo, hay dos caminos uno viendo elcache de google o bien viendo el codigo de nuestro site y detectar dos lineas de código encriptado.

    Ian, cualquier pregunta, gustoso en contestarla.
    :treva:Lo urgente lo hacemos inmediatamente, para milagros tardamos un poco más.
    •  
      CommentAuthorfcovicente
    • CommentTimeApr 5th 2011
     # 24
    Si los archivos infectados indexados en Google son muchos y crees que pueden tener algo de tráfico, puedes hacer una redirección masiva con .htaccess, como dices que todos los archivos tienen nombres con solo números, la expresión regular para redireccionarlos no es muy compleja.

    Según yo, con una redirección 301 será más rápida la desindexación, pues en si indica un cambio permanente y en un error 404 los buscadores los conservan más tiempo por la probabilidad de que sean reparados.
    •  
      CommentAuthorOrquin
    • CommentTimeApr 6th 2011
     # 25
    Posted By: fcovicenteSegún yo, con una redirección 301 será más rápida la desindexación, pues en si indica un cambio permanente y en un error 404 los buscadores los conservan más tiempo por la probabilidad de que sean reparados.

    +1
    Iba a comentar que el problema es que los buscadores Google suelen mantener bastante tiempo las páginas que eliminas del servidor sin más.
    Igual también es práctico cambiar esa página por un texto escueto tipo "esta página ya no existe" con la intención de que cambie lo ya indexado, como alternativa a buscar info sobre como se comportan los buscadores con los errores.SEO + Dominios
  26.  # 26
    Posted By: Marruf
    Posted By: fcovicenteSegún yo, con una redirección 301 será más rápida la desindexación, pues en si indica un cambio permanente y en un error 404 los buscadores los conservan más tiempo por la probabilidad de que sean reparados.

    +1
    Iba a comentar que el problema es quelos buscadoresGoogle suelenmantener bastante tiempo las páginas que eliminas del servidor sin más.
    Igual también es práctico cambiar esa página por un texto escueto tipo "esta página ya no existe" con la intención de que cambie lo ya indexado, como alternativa a buscar info sobre como se comportan los buscadores con los errores.


    Me tira un poco para atrás hacer la 301 por lo siguiente:

    - Por un lado a nivel real de comportamiento de las páginas todo has seguido igual, antes del ataque, durante el ataque (me refiero cuando google tuvo páginas nuestras cacheadas con la línea de código) y después (en que ya ha vuelto a cachear sin la línea de código)

    - Aunque las páginas basura que generó están indexadas, no es posible aún ver la cache de google. Para que veais a que me refiero: http://www.google.es/#hl=es&source=hp&biw=1280&bih=843&q=site:www.vuelosbaratosultimahora.es&aq=f&aqi=&aql=&oq=&fp=

    - Tal vez podría verse como un movimiento sospechoso el generar un día 400 páginas y al otro día redireccionarlo todo a Home ¿que opinais?Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  27.  # 27
    Posted By: marosea
    Un consejo a todos, a simple viste es imposible detectar ese tipo de hackeo, ya que solo se muestra a buscadores. Como detectarlo, hay dos caminos uno viendo elcache de google o bien viendo el codigo de nuestro site y detectar dos lineas de código encriptado.


    Hay otra forma de detectarlo, que es controlando las fechas de modificación de los archivos cuando nos conectamos via ftp. Es decir, si subiste un sitio en fecha 06/11/2010 y de repente entras via ftp y ves un index.php modificado en fecha 31/03/2011 o carpetas creadas en esa fechas, ya sabes que algo ha pasado.

    En el caso que que yo comento, los archivos "propios" no contenias contenido código encriptado, sinó que era el archivo que habían subido NN.php el que lo llevaba, en los archivos "propios" solo la línea al final, siempre después de </html> y solo en los index (.php o .html)Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  28.  # 28
    Posted By: fcovicenteSegún yo, con una redirección 301 será más rápida la desindexación, pues en si indica un cambio permanente y en un error 404 los buscadores los conservan más tiempo por la probabilidad de que sean reparados


    Vamos a probar en un de los dominios afectados (400 pág basura en el índice) a ver que tal con un Redirect 301

    (En el dominio que le pondremos el 301) Como daños "colaterales" lo que he podido ver es que si ha aparecido el dominio en búsquedas que están relacionados con los titulos de esas páginas basura (se han multiplicado las impresiones de dominio para búsquedas x10), y, seguramente lo que es lo peor, es que webmaster tools, identifica en algunos casos, "las palabras basura" que se repiten en titulos del contenido basura generado como palabras clave más habituales que ha encontrado Google al rastrear su sitio

    Ya comentaré el resultado que de seguro bien puede servir a alguien que se vea - ojala que no - en un lio parecido alguna vez.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorfcovicente
    • CommentTimeApr 7th 2011
     # 29
    seguramente lo que es lo peor, es que webmaster tools, identifica en algunos casos, "las palabras basura" que se repiten en titulos del contenido basura generado como palabras clave más habituales que ha encontrado Google al rastrear su sitio


    Algo que hay que decir es que es un poco lento para reflejar los cambios, hasta 3 semanas, por ejemplo, en una ocasión varias páginas de error fueron indexadas por Google y en Webmaster tool aparecían como palabras clave habituales "error", "php", "xdirectorio", etc. Corregí el problema relativamente rápido y en visitas nunca tuvo impacto, pero en Webmaster tools estuvo como por 3 semanas el mismo reporte.

    ¿No será que esas palabras habituales ya estaban desde antes de la redirección?
  30.  # 30
    Posted By: fcovicente¿No será que esas palabras habituales ya estaban desde antes de la redirección?


    Seguro que no, coincide también eso con la aparición en "errores de acceso" de muchas de esas páginas como no encontradas, a la vez que indica desde donde era linkadas (unas con otras), y lo mismo que indica que ha aparecido el dominio en resultados de búsquedas de esas palabras. Parece muy claro que todo viene de lo mismo, ahora lo que hay que ver, es si es más eficiente la redirección 301 o el bloqueo con robots.txt + error 404 - como he dejado en otros dominios -(incluso habría una tercera opción que sería montar un archivo con un "no index" para que lo viera el boot cuando llega a una de esas páginas basura)Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  31.  # 31
    Siguiendo con el reporte que pienso puede ser de ayuda para muchos, comentar que lo que nos hemos "encontrado" al hacer el 301 es un aumento x10 de las visitas desde google.

    ¡pero ojo!, que nadie vaya a pensar que eso es bueno, son visitas que llegan por las "palabras basuras" y que por tanto encuentran un contenido (los envio a la Home) que nada tiene que ver con lo que buscan, así que el rebote de todas estas entradas es del 100%, lo que provoca una muy considerable deformación en las estadísticas del sitio. ("a priori" algo nada bueno), aún así, si consigue acelerar el proceso de desindexación - respecto táctica 404 más bloqueo robots.txt - tal vez habrá valido la pena.

    Veremos...Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  32.  # 32
    Pasadas casi 2 semanas, de repente aparece en resultados de google en algunos casos - las webs que fueron cacheadas con el código inyectado - el mensaje: "Este sitio puede haber sido modificado por terceros"

    Aunque no es tan grave - no pone ninguna página entre el buscador y la web - como el de "Este sitio puede dañar tu equipo", lo cierto es que tira bastante para atras.

    Por lo pronto estamos haciendo el procedimiento que dice aquí: http://www.google.com/support/webmasters/bin/answer.py?answer=163634

    Por otro lado, estamos comprobando también con esta herramienta - ejemplo: http://www.google.com/safebrowsing/diagnostic?site=adslayuda.com/ - que efectivamente fue "esos días de infección" cuando google hizo la detección, lo malo es que lo muestre ahora.

    Por cierto, la herramienta también mira por server/plan, por ejemplo: http://www.google.com/safebrowsing/diagnostic?site=AS:44497 (REDCOÑA, 35 sitios de 1841 infectados)

    Seguiré informando...Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorpeter
    • CommentTimeApr 20th 2011
     # 33
    uf, menudo trabajo te esta dando ! muy buena toda la informacion de este hilo :cata2:Cocineritos
  34.  # 34
    Gracias Peter, es algo tan desagradable que te pase esto, que solo espero que si alguien se encuentra con lo mismo tenga una buena guía donde saber de que va el tema, como arreglar, y que es lo que puede esperar que suceda.

    Siguiendo con el reporte comentar que:

    - Sorprendentemente lo de "Este sitio puede haber sido modificado por terceros" no ha afectado en nada al tráfico en los 11 sitios que ya tenemos marcados con el mensaje (hoy se sumaron 4 más)

    - Webmaster tools muestra el mensaje/advertencia pasadas unas horas respecto cuando el buscador ya pone el mensaje en resultados de búsqueda

    - Recomendable a todo el mundo tener las notificaciones de Webmaster Tools reenviadas al mail

    - Los contenidos que identificó como malware indica (WMT) que estaban en página del tipo http://www.dominioquesea.com/72.php?q=fosgate-amps, aún así, el mensaje lo pone en los resultados donde aparece la Home y no en internas o en las própias "72.php?" (aunque hubo inyección en los index.php/.html no comenta nada de eso, y por otro lado, es via notificación todo, en "diagnosticos dice que todo está ok")

    - A nivel de desindexar la basura, decir que está teniendo el mismo efecto dejar con 404 y bloqueado a boots con robots.txt, que hacer un 301 de todo lo que venga de ahí a Home (en el ejemplo anterior sería de todo lo que fuera 72.php?)...poco a poco se va desindexando todo y quedando solamente el conenido "bueno"

    Estamos ahora pendientes de ver cuanto tardan en sacar el famoso mensaje después que ya hemos reportado los sitios 1 a 1 comentando que fueron limpiados y eliminado el archivo que era la base de la creación de las páginas malware basura "NN.php" y al mismo tiempo estamos expectantes ya que pensamos que aún hay sitios que en cualuqier momento pueden aparecer marcados. (retraso aprox. de google queda fijado en 2 semanas desde que encontró el malwre hasta que marcó)Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    • CommentAuthorPabloGV
    • CommentTimeApr 21st 2011
     # 35
    Muy útil el post por si acaso nos pilla el toro a alguno, gracias ian.

    por cierto, para alguno de los sitios probasteis a bloquear por robots+ eliminar la url o este paso no lo habeis probado en ningun caso?Pablo Vaca | buenamanera.es
  36.  # 36
    Lo de bloquear por robots.txt si, pero ya era tarde, la prueba es que incluso estando ya bloqueado el acceso a "la basura" siguieron apareciendo páginas en el index (entiendo que el robot había pasado pero aún no las mostraba en el index, de todas formas, nunca permitió ver la "caché" de eso), con lo qual me queda la duda de que hubiera pasado si le hubieramos dejado volver a entrar cuando devolvían ya error 404 o estaba el 301 (el 301 solo lo hicimos en 1 dominio) tal vez hubiera visto que la cosa estaba ya solucionada, de todas formas y en el caso del 301 en particular lo que altera las estadísticas es una barbaridad (multiplico el tráfico x10 todo desde keywords basura), también está el problema de que las muestra en wmt como palabras frecuentes del sitio.- (lo que hace bajar el % de importáncia que le da a la keys a las que si se quiere que tome como eferentes del sitio)

    Con respecto a eliminar url, en algunos casos han llegado a ser 4.000 con lo que multiplicado por unos 200 dominios que son a los que afectó era una tarea imposible.

    También hay que remarcar que el dominio más afectado desde el punto de vista de posicionamiento fue el dominio donde se hizo el 301 (estaba en top 10 para una búsqueda buena que daba conversiónes y de momento siguie en el limbo), supongo que indexar 4000 páginas en 3 días y luego hacer un 301 a Home desde todas puede verse como una operación fraudulenta...la gente del black hat lo debe usar bastante porque a nivel tráfico sin duda que funciona (otra cosa es lo que se pueda rentabilizar de ello, a nosotros particularmente ese tráfico nos ha supuesto una distorisón en las estadísitcas y nada más, aunque alguien que se dedique al CPM sin duda que le puede sacar partido a una táctica así...de hecho es algo que de forma más o menos legal ya venían haciendo algunos - lo de tener muchismio indexado "partir de terceras fuentes" aunque fuera 0 útil para el usuario - y creo que ha sido precisamente una de la cosas que ha cortado el cambio de algoritmo conocido como "google panda")Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorfcovicente
    • CommentTimeApr 21st 2011
     # 37
    Muy útil toda la info que estás publicando.

    301 en particular lo que altera las estadísticas


    En analytics y otros sistemas puedes crear filtros y así no contar esas visitas.
  38.  # 38
    Se me escapo eso fcovicente, es evidente que hubiera sido lo correcto. Aún así, son demasiadas variables para poder decir con seguridad cual de ella provoca qué.

    De todo ello, pienso que lo que más puede afectar en términos de posicionamiento es que google asuma como palabras frecuentes del sitio (así lo indica wmt) algunas de las "basura "- todas ellas leídas en "metas titles" - lo que hace bajar el % de importáncia que le da a la keys que si son referentes del sitio, y de ahí que al no darle el mismo peso te veas desplazado para esas búsquedas. El mismo argumento para "búsquedas en las que ha aparecido es sitio", y ídem con lo de % de clics sobre búsquedas.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
  39.  # 39
    Bueno,

    Pese a ser semana santa me toca estar encima, así que reporto.

    - A los 11 sitios afectados con la frase "Este sitio puede haber sido modificado por terceros" se han sumado 2 más...así que en total van 13.

    - Lo bueno es que la solicitud de reconsideración ya va teniendo efecto, con lo que via "wmt" hemos recibido los siguientes comunicados:

    Estimado webmaster o propietario del sitio http://www.xxxxxxxxxx.com/: Hemos recibido una solicitud del propietario de un sitio para que volvamos a comprobar si http://www.xxxxxxxxxxx.com/ cumple las directrices para webmasters de Google. Anteriormente, el equipo de webspam realizó una intervención manual en su sitio porque considerábamos que infringía las directrices de calidad. Una vez revisada su solicitud de reconsideración, se ha revocado esa acción. Es posible que transcurra algún tiempo hasta que se actualicen nuestros sistemas de clasificación y de indexación, y se muestre el nuevo estado de su sitio.

    A lo que debo decir que en cuestión de 12 horas la frase ya ha desaparecido (una gran gran alegría ver que de repente ya no sale más) de alguno de los sitios.

    Efectos que ha tenido/está teniendo todo esto:

    - En sitios con antigüedad y "peso" no se ha movido nada, ni tráfico ni posiciones.

    - En sitios nuevos - aunque montados sobre dominios viejos - que estaban ya en "top 3" "top 10", los ha mandado unas 50 posiciones más atras de media (ahora queda por ver una vez han sacado la frasecita si vuelven a donde estaban.

    A todo esto, damos por hecho que todos los que tuvieron infección deberán pasar por el proceso. - frase - aviso wmt - solicitud reconsideración - otra vez ok. Llevamos ya desde el 31 de marzo con el tema, casi un mes...pero parece que ya vemos la luz al final del tunel.

    Nota: Me voy con la bici a dar una vuelta por el monte...es muuuuuuy importante ir desconectando y limpiando la mente cuando estás en algo así.Para cuestiones relacionadas con dominios contactar por favor a través de: TLDsConsulting.com
    •  
      CommentAuthorCarlosM
    • CommentTimeMay 12th 2011
     # 40
    Hola,

    Gracias Ian por compartir :cata2:
    muy útil la información,
    Y desafortudamente ya me cuento como otra víctima de estos #§&*%@$! :cry:

    Aquí encontré una descripción muy buena de como funciona esto:
    http://blog.unmaskparasites.com/2011/05/05/thousands-of-hacked-sites-seriously-poison-google-image-search-results/#webmasters

    Y para escanear el sitio me sirvió en primera instancia:
    http://www.avg.com.au/resources/web-page-scanner/

    Bueno ahora a limpiar, como si no tuviera mucho que hacer ... :smash:

1 a 40 de 43

  1. <
  2. 1
  3. 2
  4. >