Google zastavil PPC a reklamu - důvod odkazy za nedůvěryhodné servery

Martens
18. úno 2020 14:00 #141755
Ahoj všem,
už 3 dny se snažím přijít na to, jak vyřešit problém s webem, který si nechal před 8 lety udělat klient s tím, že si jej bude spravovat sám.
Před třemi dny mne informoval, že jeho web obsahuje odkazy na servery, které nejsou označeny jako "důvěryhodné".

Nejde o klasické hacknutí webu v tom, že by web nejel, nebo přesměrovával někam, či zobrazoval v rámci stránek nežádoucí odkazy.

Web je aktualizovaný - v tuto chvíli je na něm Joomla 3.9.14, je na něm nainstalována Akeeba Admin Tools včetně firewallu (a ať se na mne hosting zlobí nebo ne), tak jednou týdně tato komponenta dělá fullscan webu na změněné soubory.

I podle logů z Akeeby je vidět, že tam byly pokusy o iSQL, MUAShield a další známé praktiky.

Ani toto mi bohužel nedokázalo ukázat na soubory, které by mohly být takto infikovány (a to přitom s Akeebou dělám od roku 2011, kdy jsem čistil pro jistou společnost celou řadu webů, které měla zcela nezabezpečené).

Už jsem zkoušel hledat i takové fousaté fígle jako PHP ukrytý v JPG souboru, ale bez výsledku.

Otázka je - dá se nějak zjistit alespoň namátkově, odkud (z které stránky webu) jde odkaz na ty škodlivosti?

Samozřejmě, že Bongův článek o čištění hacknutého webu mám jako mantru načtený i pozpátku již několik let, takže odkaz na něj je v tuto chvíli asi zbytečný.

Nicméně díky za nakopnutí správným směrem - bohužel hledání pověstné jehly v kupce sena je v tuto chvíli daleko jednodušší úkol.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
18. úno 2020 14:30 - 18. úno 2020 14:32 #141756

Martens napsal: web obsahuje odkazy na servery, které nejsou označeny jako "důvěryhodné"

To by chtělo vidět. Z informací o Google jsem už chvíli pryč, ale jestli je všechno čisté:

Jedou stránky alespoň na HTTPS?
Jsou na stránkách nějaké odkazy (třeba v textu) na cizí stránky?
Není hosting, nebo IP adresa serveru někde na blacklistu?
Není tam nějaká subdoména?
V emailu od Google není něco podrobněji, třeba odkazy?

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
18. úno 2020 14:52 - 18. úno 2020 14:58 #141757
Ahoj Bongu,

takže postupně:

1) Na https je web cca 2 roky

2) Ano, odkazy na cizí weby tam jsou - jde vesměs o odkazy na mezinárodní kongresy případně na weby výrobců zubních implantátů. Jsou tam i nějaké odkazy na youtube videa - co jsem si tam všiml.

3) Hosting je na WEDOSu, takže nepředpokládám,že by byl WEDOS na blacklistu

4) Subdomény tam nejsou žádné. Jen v adresáři domains mám uloženou statickou html stránku pro případ odstavení webu - je to statický html kód a 3 obrázky, které už jsem rovněž manuálně prověřil

5) Co se týče mailu od googlu, tak v příloze je plné znění včetně odkazů,které mu vadí. Na můj dotaz, zda by byli schopni vyjet, ze kterých stránek tyto odkazy jsou, tak mi řekli, že nejsou a že to neumí - což mi příjde jako nesmysl v okamžiku, kdy mají zindexované stránky přes přes Google Search consoli, která žádné bezpečnstní problémy pro tento web nehlásí.

Ještě zkouším stáhnout celý web ve verzi pro off-line prohlížení a zkusit prohledat obsah html, zda tam někde ten odkaz nenajdu. Nicméně nevím proč, ale čím dál tím víc té zprávě od Google nevěřím, ač je autentická a s jejich helpdeskem se již ohledně ní taky komunikovalo.

Z textu od Google mne zaráží jeden odstavec, který si (ač člověk, který se slovenčinou nemá problém) můžu vyložit špatně:

Postupujte podľa našich pokynov a môžete dôsledne vykonávať všetky potrebné kroky. Uistite sa, že škodlivý softvér bol odstránený z hlavnej domény a všetkých subdomén, ako aj z overených stránok, ktoré sú presmerované.



Jo a adresa je www.implantaty-kriz.cz/

Martin
Přílohy:

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
18. úno 2020 22:20 #141762
Netuším. Ten email se mi nezdá, nic podobného jsem nenašel.
A když kouknu přes Whois, tak se všechno tváří, že je u forpsi, to by se mi nelíbilo.

Musí přijít někdo chytrej.

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
18. úno 2020 22:36 #141763
No já právě z toho taky moc chytrej nejsem, ale i tak díky.

Jinak u Forpsi je jen registrovaná doména a mají tam DNS záznamy. Ale A-record odkazuje na WEDOS, kde je to i hostováno.

Jediné, co mne ještě napadá, že DNS není nastaveno u WEDOSu taky - tím se zřejmě příjde o možnost mít aktivní DNSSEC, ale fakt nevím - už vařím z vody.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
21. úno 2020 14:57 #141777
Neni něco schovanýho v .htaccess?

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
21. úno 2020 16:54 #141781
Bohužel, Cony, v .htaccess není taky nic. Je to standardní .htaccess pro Joomlu, doplněný o přesměrování z http na https a z varianty bez www na variantu s www - nic dalšího tam není.

Nicméně - a to by mohlo být zajímavé i pro ostatní - na podporu Google se obrátil kolega, který řeší primárně SEO a tam na návodnou otázku, zda na to můžou mít vliv weby, na které se ten náš odkazuje a případné breberky by mohly být tam, dostal odpověď, že možné to je.

Takže v tuto chvíli zkoušíme najít všechny weby a odkazy na cizí weby a primárně u těchto odkazů nastavím nofollow a nechám to projet znova googlem.

Samo, že info o tom, jak to dopadlo, pošlu.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Bong
21. úno 2020 17:28 #141783
Já jsem ty odkazované, ale i weby na stejném serveru (sousedy) už minule lehce testnul a taky nic. Teda, sousedi občas v minulém čase byly chycený malwarem a podobně... Ale zkusit se to může.

Pořád mi vrtá ten email, proč je "po slovensky".

I'm sorry, my responses are limited...you must ask the right questions.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Martens
21. úno 2020 22:44 #141784

Bong napsal: Pořád mi vrtá ten email, proč je "po slovensky".


U nadnárodní společnosti bych se nedivil vůbec ničemu -"slovenčina" je to nejmenší.

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.

Odpověď od Cony
22. úno 2020 01:06 #141785
Tak je fakt, že pokud z Google napíšou, že jsou na webu škodlivé odkazy, ale nejsou schopní říct kde, tak tomu moc nerozumím...
Jinak v zásadě škodlivý kód by mohl být napsán tak, aby se projevil jen googlebotu, z důvodu indexace. Skenovanání stránek by pak nic neukázalo. Ukázat by pak mohla něco funkce načíst jako googlebot ve webmaster tools.

Občas něco odhalí tenhle scanner , je ale potřeba přístup na příkazovou řádku serveru, pouští se jako CLI. Před pár lety jsem to použil, když jsem čistil server s asi 20ti weby, a ušetřilo mi to mraky času...

Pro možnost přispívání do fóra je nutné: Přihlásit se nebo Vytvořit účet.