2)- Revisar el archivo .htaccess por si contenía nuevas reglas.
María habló con su proveedor de alojamiento, que le explicó cómo acceder al archivo .htaccess. Enseguida se dio cuenta de que en el archivo .htaccess había contenido extraño que ella no había añadido:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>
El hacker había insertado la regla
mod_rewrite anterior para redireccionar a todos los usuarios procedentes de determinados motores de búsqueda y rastreadores de motores de búsqueda a main.php, que generaba todo el contenido comprometido. Estas reglas también pueden redireccionar a los usuarios que accedan al sitio desde un dispositivo móvil. Ese mismo día también vio, con un escaneo de software malicioso reciente, que había contenido sospechoso en el archivo main.php. Además, también encontró a un usuario desconocido en el área de usuarios del FTP de su software de desarrollo de sitios web.
María eliminó el archivo main.php, el archivo .htaccess y al usuario desconocido del área de usuarios del FTP, y su sitio dejó de estar comprometido.
Pasos para evitar que se vuelva a comprometer el sitio
- No utilizar el FTP para transferir archivos a los servidores. El FTP no cifra todo el tráfico, incluidas las contraseñas. En cambio, el SFTP lo cifra todo, incluida la contraseña, como protección contra los intrusos que examinan el tráfico de red.
- Comprobar los permisos de los archivos confidenciales, como .htaccess. El proveedor de alojamiento puede ofrecer ayuda para ello. El archivo .htaccess se puede utilizar para mejorar y proteger el sitio, pero los hackers maliciosos también pueden utilizarlo si consiguen acceder a él.
- Estar atentos y buscar usuarios nuevos y desconocidos en el panel de administración, o en cualquier otro lugar en el que los usuarios puedan modificar el sitio.
Esperamos que tu sitio nunca se vea comprometido, pero si esto sucede, tenemos muchos recursos para webmasters en nuestra
página de Ayuda para sitios comprometidos. Si necesitas más ayuda o quieres compartir tus propios consejos, puedes escribir en nuestro
Foro de ayuda para webmasters. Si escribes en el foro o envías una solicitud de reconsideración para tu sitio, incluye la etiqueta
#NoHacked
..
Escrito por Julian Prentice y Yuan Niu, Search Quality Team.Publicado por Javier Pérez equipo de calidad de búsqueda.
2 comentarios :
Buenas tardes.
Creo que tenéis una errata en el texto:
"Aunque puede parecer que http://example.com/ y http://example.com/ son el mismo sitio, en realidad Google los trata como sitios distintos. http://example.com/ se considera el "dominio raíz", mientras que http://example.com/se denomina "subdominio". María había verificado http://example.com/ pero no http://example.com/, lo cual fue determinante, porque los hackers habían agregado páginas sin www, como http://example.com/where-to-buy-cialis-over-the-counter/. Al verificar http://example.com/, María pudo ver correctamente el contenido comprometido en la URL proporcionada con la herramienta Explorar como Google de las Herramientas para webmasters."
No debería ser "Aunque puede parecer que http://example.com/ y http://www.example.com/..."? Hay varias referencias en ese fragmento que aunque son evidentes, pueden llevar a equívoco a un usuario con poca experiencia.
Un saludo
Corregido, gracias por el aviso David.
Publicar un comentario