In questi ultimi giorni molti siti sono stati colpiti da un nuovo tipo di attacco, più subdolo in quanto sfrutta il Black Hat SEO e per questo è molto difficile da individuare.

Secondo la definizione data da Google nelle sue guide sull’ottimizzazione per i motori di ricerca, con Black Hat SEO si intendono “le tecniche illecite o bad practice che violano le istruzioni per i webmaster e manipolano i motori di ricerca per cercare di far avere una posizione migliore a un sito”.
black-hat-seo-spam
Il Black Hat SEO permette di portare gli utenti su pagine completamente esterne al sito, che non riguardano neanche lo stesso argomento di ricerca.

In questo il caso i visitatori sono stati dirottati verso siti per adulti, il tutto all’insaputa dei proprietari che possono accorgersene settimane o mesi dopo.

L’attacco è stato reso possibile a causa della vulnerabilità del plugin WP Mobile Detector, utilizzata appunto per far si che Google, Bing e altri motori di ricerca portino i visitatori, tramite redirect, verso siti porno ospitati su server esterni.

Il bug presente nel plugin di WordPress permette di “passare come parametro POST un file ospitato su siti esterni e caricarlo nel folder “cache”. In particolare, viene scaricato tramite una chiamata alla risorsa “/wp-content/plugins/wp-mobile-detector/resize.php” o “/wp-content/plugins/wp-mobile-detector/resize.php” (che include resize.php) il file offuscato hxxp://copia[.]ru/mig/tmp/css.php [WBM], che attiva poi il download del payload che si occupa di attivare l’indicizzazione su Google e i motori di ricerca.”

E’ possibile trovare siti infetti che non abbiano attivo il plugin WP Mobile Detector o che non siano in WordPress. Per questo sono in corso analisi atte a verificare se l’infezione si è propagata anche a livello di webserver.

Come verificare se il proprio sito è stato compromesso

Come detto è proprio a causa della particolarità di questo attacco che è difficile accorgersi se il proprio sito è stato infettato e quindi correre ai ripari.
Bisogna tener conto che sono stati colpiti portali di qualsiasi tipo: siti di agenzie, aziende, comuni, blog, ecc.. e molti di questi sono tutt’ora compromessi.

Per verificare se il vostro sito è stato infettato ci sono diversi modi, ve ne riportiamo 3:

1. Verificare la presenza di una cartella dal nome “gopni3g” nella root del webserver.

In genere l’infezione si manifesta con la presenza della cartella “gopni3g” nella root del webserver, accompagnata dal file “gopni3g.zip” che contiene il folder che attiva il blackhat seo spam.
E’ facile che riscontriate anche la presenza delle cartelle “dyonp7g”, “norxi4s” o “lrob5l”.

Se potete accedere ai file del webserver via FTP o filemanager web, verificate la presenza di cartelle anomale o archivi ZIP che non fanno parte del vostro sito o template. Se potete visualizzare le date di ultima modifica, ordinate i file in modo da portare in alto quelli modificati di recente che saranno con buona probabilità quelli eventualmente colpiti dall’hack del plugin WP Mobile Detector.

Google fornisce un servizio gratuito di monitoraggio della sicurezza del proprio sito, chiamato “Google Search Console”.

2. Ricercare su Google le pagine indicizzate tramite la query “site:www.miosito.est”

Una ricerca avanzata vi permette di verificare se sono presenti pagine che non fanno parte del vostro sito, eventualmente raffinando la ricerca con “site:www.miosito.est gopni3g”  aggiungendo altri nomi identificati.

3. Registrare il proprio sito su Google Search Console e attivare le notifiche

Google.com/webmasters/tools/home?hl=IT&pli=1), che potete utilizzare anche in altre occasioni.
Per iscrivere il proprio sito è sufficiente registrarsi all’indirizzo fornito da Google e dimostrare il possesso del sito web caricando un file o modificando i parametri DNS, oppure dimostrando di aver configurato correttamente Google Analytics.

Google vi avviserà se sarete colpiti dall’hack Black Hat SEO grazie alla segnalazione di “Aumento delle pagine di errore “404” sul sito”, ovviamente presenti in quanto non vengono trovate sul server perché redirezionate su server esterni.

Come correre ai ripari

Per liberarsi dall’infezione basta compiere 3 semplici azioni:

– Eliminare  il folder “gopni3g” o quelli eventualmente creati dall’attacco, inclusi eventuali archivi ZIP.
Se possibile ripristinate un backup a vostra disposizione, precedente a quando il sito è stato infettato.
Infatti anche se la pulizia è stata accurata, potrebbero essere subentrate altre infezioni facilitate da quella principale.
Vi ricordiamo quanto sia importante premunirsi sempre di un servizio di backup o di uno spazio esterno di storage su cui salvare più backup in modo da conservare una certa storicità.

– Aggiornare WordPress e tutti i plugin. Vi consigliamo di aspettare prima di reinstallare WP Mobile Detector.

– Informate Google, ed eventualmente Bing, che l’infezione è stata rimossa. In questo modo ripristinerete la corretta indicizzazione del sito.

Per farlo, è necessario accedere al proprio account Google Search Console e indicare a Google che le anomalie sono state rimosse (nel caso in cui Google avesse segnalato l’infezione) e che le pagine contenenti errori sono state verificate.

Accedete alla pagina “Scansione”, andate su “Errori di scansione” e verificate se Google ha rilevato errori di scansione. In caso affermativo, selezionate tutte le pagine d’errore legate all’infezione da gopni3g e cliccate su “segna come corretti”.
Verificate che le pagine d’errore restituiscano davvero errore e non facciano redirect verso siti esterni.

Controllate anche che l’infezione non abbia modificato anche la sitemap fornendone a Google una falsata. La verifica può essere fatta sia accedendo al percorso delle sitemap aggiungendo all’indirizzo la URI “sitemap.xml”, “sitemap.xml.gz” o “sitemap_index.xml” e verificando se il file robots.txt è stato alterato, includendo ad esempio una fake sitemap.