Google zastavil PPC a reklamu - důvod odkazy za nedůvěryhodné servery

Ahoj všem,
už 3 dny se snažím přijít na to, jak vyřešit problém s webem, který si nechal před 8 lety udělat klient s tím, že si jej bude spravovat sám.
Před třemi dny mne informoval, že jeho web obsahuje odkazy na servery, které nejsou označeny jako "důvěryhodné".

Nejde o klasické hacknutí webu v tom, že by web nejel, nebo přesměrovával někam, či zobrazoval v rámci stránek nežádoucí odkazy.

Web je aktualizovaný - v tuto chvíli je na něm Joomla 3.9.14, je na něm nainstalována Akeeba Admin Tools včetně firewallu (a ať se na mne hosting zlobí nebo ne), tak jednou týdně tato komponenta dělá fullscan webu na změněné soubory.

I podle logů z Akeeby je vidět, že tam byly pokusy o iSQL, MUAShield a další známé praktiky.

Ani toto mi bohužel nedokázalo ukázat na soubory, které by mohly být takto infikovány (a to přitom s Akeebou dělám od roku 2011, kdy jsem čistil pro jistou společnost celou řadu webů, které měla zcela nezabezpečené).

Už jsem zkoušel hledat i takové fousaté fígle jako PHP ukrytý v JPG souboru, ale bez výsledku.

Otázka je - dá se nějak zjistit alespoň namátkově, odkud (z které stránky webu) jde odkaz na ty škodlivosti?

Samozřejmě, že Bongův článek o čištění hacknutého webu mám jako mantru načtený i pozpátku již několik let, takže odkaz na něj je v tuto chvíli asi zbytečný.

Nicméně díky za nakopnutí správným směrem - bohužel hledání pověstné jehly v kupce sena je v tuto chvíli daleko jednodušší úkol.

Ahoj Bongu,

takže postupně:

1) Na https je web cca 2 roky

2) Ano, odkazy na cizí weby tam jsou - jde vesměs o odkazy na mezinárodní kongresy případně na weby výrobců zubních implantátů. Jsou tam i nějaké odkazy na youtube videa - co jsem si tam všiml.

3) Hosting je na WEDOSu, takže nepředpokládám,že by byl WEDOS na blacklistu

4) Subdomény tam nejsou žádné. Jen v adresáři domains mám uloženou statickou html stránku pro případ odstavení webu - je to statický html kód a 3 obrázky, které už jsem rovněž manuálně prověřil

5) Co se týče mailu od googlu, tak v příloze je plné znění včetně odkazů,které mu vadí. Na můj dotaz, zda by byli schopni vyjet, ze kterých stránek tyto odkazy jsou, tak mi řekli, že nejsou a že to neumí - což mi příjde jako nesmysl v okamžiku, kdy mají zindexované stránky přes přes Google Search consoli, která žádné bezpečnstní problémy pro tento web nehlásí.

Ještě zkouším stáhnout celý web ve verzi pro off-line prohlížení a zkusit prohledat obsah html, zda tam někde ten odkaz nenajdu. Nicméně nevím proč, ale čím dál tím víc té zprávě od Google nevěřím, ač je autentická a s jejich helpdeskem se již ohledně ní taky komunikovalo.

Z textu od Google mne zaráží jeden odstavec, který si (ač člověk, který se slovenčinou nemá problém) můžu vyložit špatně:

Postupujte podľa našich pokynov a môžete dôsledne vykonávať všetky potrebné kroky. Uistite sa, že škodlivý softvér bol odstránený z hlavnej domény a všetkých subdomén, ako aj z overených stránok, ktoré sú presmerované.

Jo a adresa je www.implantaty-kriz.cz/

Martin

No já právě z toho taky moc chytrej nejsem, ale i tak díky.

Jinak u Forpsi je jen registrovaná doména a mají tam DNS záznamy. Ale A-record odkazuje na WEDOS, kde je to i hostováno.

Jediné, co mne ještě napadá, že DNS není nastaveno u WEDOSu taky - tím se zřejmě příjde o možnost mít aktivní DNSSEC, ale fakt nevím - už vařím z vody.