Od kilku tygodni obserwuję wzmożoną ilość ataków, które roboczo nazywam GSCattack.
Głównie zagrożone są sklepy Internetowe oraz większe strony oparte o WordPress i Joomla (z ruchem i formularzami np. Landing Page czy zintegrowanym newsletterem). Jednak nie wykluczone, że atak jest przeprowadzany na każdy większy system CMS lub e-commerce.
Atak częściowo przeprowadzany jest ręcznie!
Wirus dostając się na serwer, po potwierdzeniu, że może dzialać wysyła informacje do serwera atakującego, że ma „drogę wolną”, następnie atakujący dodaje siebie jako właściciela witryny w Google Search Console i po wprowadzeniu na stronę (Przez SQL) tysięcy spamowych podstron oraz nieistniejacych produktów dodaje swoje własne mapy witryny właśnie z nimi.
Atak jest ciężki do wykrycia z poziomu panelu, gdyż w panelu administracyjnym żadnego z systemów, które odwirusowywałem szkodliwe wpisy i produkty nie były widoczne.
Następnie mapy te indeksuje przez „Pobierz Jako Google” co w przeciągu 3 dni indeksuje całą złośliwą zawartość.
Co należy zrobić?
Nie ma jednej uniwersalnej instrukcji, ponieważ wszystko jest zależne od tego z czego zbudowana jest strona (w moim przypadku był to zarówno WordPress, Joomla, ale też Prestashop). Na pewno jednak musisz zarejestrować i zweryfikować wszystkie warianty adresu swojej strony w Google Search Console, aby otrzymywać powiadomienia – zarówno o dodaniu nowego właściciela jak i informacje o problemach w tym informacje o wykryciu szkodliwego oprogramowania na Twojej stronie internetowej.
Przykładowe powiadomienia oraz zrzuty z ataku w Google Webmaster Tools – obecnie Google Search Console:
We wszystkich 9 przypadkach czas pomiędzy dodaniem właściciela, a rozpoczęciem szkodliwych działać wynosił około 5 dni, a więc kluczowa jest natychmiastowa reakcja na pojawienie się nowego właściciela i sprawdzenie całej instalacji pod kątem innych zagrożeń.
Jeżeli nie chcesz tego robić samodzielnie lub nie masz na to czasu → użyj formularza kontaktowego.