FORO SPAMLOCO


¿Estará infectado mi blog?


Dudas sobre Wordpress, Blogger y demás plataformas de contenidos
   

¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 04:17

El lunes volví a poner en activo mi blog personal y desde entonces he estado checando diariamente en Google el número de páginas indexadas para asegurarme de que todo vaya bien. Esta mañana había apenas 9 páginas, hace un momento revisé de vuelta y vi que el número había saltado hasta 66. Me pareció algo raro porque apenas tengo 25 entradas publicadas, y entonces al prestar más atención a los resultados, casi me desmayo al ver esto:

Imagen

Parece tratarse una infección, situación que me resulta llamativa ya que he tomado muchas medidas de seguridad: contraseñas fuertes, no hay usuario admin, permisos bien ajustados, WordPress a la última versión, pocos plugins y todos actualizados y bien conocidos, el prefijo de las tablas de la BD no es wp_...

He revisado todos los archivos y carpetas del servidor y no encuentro nada, tampoco en la base de datos veo rastro de esos posts. Además, hay ciertos puntos que me llaman la atención de esas URLs:

  1. La fecha de los resultados es 23 de septiembre de 2011. Yo perdí ese dominio en agosto de aquél año tras haberlo dejado vencer por accidente, y a partir de ese momento estuvo en manos de un tipo que lo llenó de spam, hasta que lo recuperé en octubre de 2012. La fecha de los posts coincide con el periodo en que lo estuvo usando el spammer.
  2. Las URLs aparecen con www, mientras que yo dejé de usar las www desde que reactivé el blog. Pueden notar que los otros resultados no las tienen. El spammer sí las utilizaba.
  3. El formato de los títulos no corresponde con el que yo utilizo. Mis títulos aparecen como Nombre del post | Nombre del blog. Esos tienen un - en vez del |.
  4. Las URLs están en el formato por defecto de WordPress en vez de los permalinks que yo uso.

Por esta razón pienso que, más que tratarse de una infección, se trata de los antiguos posts que publicó el spammer y que de alguna manera Google ha vuelto a "sacar a la luz". Pero, ¿será eso o realmente se habrá infectado mi blog?

He estado revisando los demás resultados y no son más que tags y páginas de archivos que de todos modos Google debería borrar al poco tiempo ya que los tengo bloqueados desde el robots.txt; esos dos son los únicos "malignos". También he notado que no es la primera vez que Google me indexa páginas inexistentes, como pueden ver en el primero de los resultados de la captura de arriba, que corresponde a una URL de cuando el blog estaba en Blogger (lo mudé a WordPress desde septiembre de 2010).

¿Por qué ocurren estas cosas? Yo la verdad no entiendo nada. :blink1:

Aclaro que hasta antes del lunes mi blog estaba completamente desaparecido de los resultados de Google, de hecho el idiota spammer provocó que penalizaran el dominio y tuve que enviar un recurso a Google para que lo volvieran a incluir. Parecía que todo iba de maravilla, y entonces ocurre esto. :mat:

Tengo un backup de la base de datos pero es de ayer, y hoy precisamente estuve trabajando mucho haciendo muchos cambios que no quiero perder (nada que haya influido en los resultados, ya que fue trabajo con comentarios y entradas en borrador), por lo que preferiría no restaurarlo si no es necesario. Ya he solicitado a Google la eliminación de esas URLs tanto desde el robots.txt como desde Webmasters Tools, mas quisiera saber qué más debería hacer.

¿Algún alma caritativa que pueda socorrerme? :-(
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte



Re: ¿Estará infectado mi blog?

Notapor Alejandro » Jul 2013, 14:03

Al principio pensé que era infección pero a medida que leía queda claro que no lo es, es decir no es un problema del WordPress además mirando el sitio no se ve nada extraño.

Lo que sucede es que Google esta reviviendo viejas URLs que alguna vez tuvo indexadas, en este caso páginas del spammer y el antiguo Blogger (eso si que es extraño). Por qué sucede esto? No lo sé, son errores del buscador, pero lo he visto antes.

Creo que en algún momento tu eliminaste todo el sitio de Google desde las Herramientas para Webmasters para dar de baja todas las URLs del spammer y comenzar desde cero. Y al reactivar el sitio está sucediendo esto, como si esa información vieja quedada en una caché de Google.

Me pasó algo similar una vez que eliminé todo un directorio de tags... les agregué noindex a la mayoría para no indexarlas (eran miles) y sólo indexar unas pocas que me interesaban, pero al quitar el bloqueo de ese directorio desde las Herramientas para Webmasters la indexó a todas de golpe como antes en lugar de primero rastrearlas e indexar las que yo le indicaba que debía indexar. Al parecer funciona así :fever:

En principio esto no debería de generar problemas porque son páginas que devuelven un 404, es decir que con el tiempo se eliminan automáticamente. Pero para acelerar el proceso puedes solicitar la eliminación manualmente, también podría ayudar seleccionar el dominio preferido sin WWW en el panel de las Herramientas, como una indicación mas hacia el robot de que las páginas con WWW al principio no van.
Avatar de Usuario
Alejandro
Administrador
 
Mensajes: 4096
Registrado: May 2009, 18:28
Ubicación: Uruguay
Twitter: @spamloco

Re: ¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 14:19

Menos mal. Vaya susto que me metí. Acabo de revisar de vuelta y ya no están esas tres URLs, ni las del spammer ni la de Blogger, aunque en Webmasters Tools todavía me aparecen las solicitudes como pendientes.

Lo que mencionas de que alguna vez las eliminé es cierto, no desde Webmasters Tools sino desde el robots.txt, que lo tenía con esta directiva

Disallow: /*?

Ayer precisamente la removí porque me di cuenta de que WordPress añade la etiqueta canonical a todas las páginas individuales, por lo que de cualquier manera Google debería ignorar parámetros como ese, y unas horas después de quitarlo fue cuando salieron esos resultados (el de Blogger ya aparecía de antes).

Es extraño que Google haya guardado los resultados en caché durante tanto tiempo; dos años en el caso de las URLs del spammer y 3 en el de la de Blogger. De hecho he estado viendo que Bing también tiene en su caché algunos resultados de varios años atrás, pero en cuanto a Google lo raro fue que ya los había eliminado y los volvió a poner.

En fin, mientras no sea algo que le afecte a mi blog o a su posicionamiento no tengo de qué preocuparme. He vuelto a revisar la base de datos y hasta la última carpeta del servidor en busca de código maligno, así como analizado el blog con Sucuri, y todo parece estar limpio. El dominio preferido también lo tengo seleccionado desde el principio. De cualquier manera seguiré atento a los resultados por si aparece algo extraño otra vez.
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte

Re: ¿Estará infectado mi blog?

Notapor fedelosa » Jul 2013, 17:45

No será esto:; http://spamloco.net/2012/12/limpiar-wor ... -hack.html

No leí todo el thread, sorry
Avatar de Usuario
fedelosa
Nivel 5
 
Mensajes: 365
Registrado: May 2009, 00:11
Ubicación: Rocha - Uruguay
Twitter: @Fedelosa

Re: ¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 02:08

fedelosa escribió:No será esto:; http://spamloco.net/2012/12/limpiar-wor ... -hack.html

No leí todo el thread, sorry


Bingo! Te iba a moler a palos por no leer, pero atinaste de pleno. Venía a actualizar anunciando que salió otro resultado maligno, me encontré con tu post y dos de los términos de búsqueda dieron positivos. Parece que es el jodido Pharma Hack. ¿Cómo demonios entró? :angry: :angry: :angry:

Los términos fueron "fwp", de donde salió un resultado que ya borré, y "rss_%", que me arroja 24 resultados, pero revisándolos uno a uno hay varios falsos positivos, así que mañana los revisaré con más calma que ahora pasa de medianoche y muero de sueño. Por ahora le he enviado la petición a Google para que elimine la nueva URL, que extrañamente tiene las mismas características que las otras: fecha de 2011, www, permalinks por defecto, etc.
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte

Re: ¿Estará infectado mi blog?

Notapor elQuique » Jul 2013, 04:32

Es un sistema de detección automática de detección de problemas del webmaster, lo mejor es ir a un sexologo y te lo soluciona :P jaja
Avatar de Usuario
elQuique
Moderador
 
Mensajes: 2230
Registrado: May 2009, 18:43
Ubicación: Florida, Uruguay
Twitter: @elQuique

Re: ¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 13:32

elQuique escribió:Es un sistema de detección automática de detección de problemas del webmaster, lo mejor es ir a un sexologo y te lo soluciona :P jaja


¬¬

Bueno, reitero la conclusión a la que había llegado anteriormente: NO es el Pharma Hack. Luego de leer el post de Fedelosa investigué un poco sobre ese malware y hay algunos detalles que no coinciden con mi caso, como el hecho de que solo salieran pocas URLs (apenas tres en una semana), las características raras que apuntaban a que se trataba de las URLs del spammer, y que el resultado que apareció ayer ni siquiera tenía que ver con farmacéuticos, era algo sobre viajes.

Empecé a revisar los resultados que encontré ayer y todos eran falsos positivos. Entonces volví a leer el post de Fedelosa y advertí que no había hecho la búsqueda como él dice (era muy tarde y no leí bien), sino que hice una búsqueda general en todas las tablas, por eso salieron tantos resultados. Buscando de la manera en que dice en el post no arroja nada. Lo que borré ayer, y ya lo constaté revisando el último backup de la BD, era también un falso positivo (ups :redface:).

En cuanto a los archivos de WordPress, se me ocurrió un método para analizarlos rápidamente: descargué mi blog completo y luego copias nuevas y en limpio de WordPress, de mis plugins y de mi tema, y los comparé utilizando este script que encontré hace un tiempo y que permite comparar directorios recursivamente por medio de hashes MD5. De nuevo, exceptuando los archivos que yo mismo he modificado, no sale nada. Mi blog está limpio.

Todo parece indicar que lo que está mostrando Google son las páginas que almacenó en su caché de la época en que mi dominio estuvo en manos del spammer. A ver si ya va dejando de jugar al perrito desenterrando fósiles y se queda tranquilo de una vez. :roll:
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte

Re: ¿Estará infectado mi blog?

Notapor Alejandro » Jul 2013, 17:03

Algo que yo haría sería no bloquear el acceso a esas URLs por medio del robots.txt, al estar bloqueado el robot de Google directamente no entra a esas URLs y nunca llega a "ver" el 404. Es decir, no se da cuenta de que son páginas que ya no existen.

Es mejor que primero vea, luego bloquear y eliminar o dejarlas ya que al ser 404 las elimina automáticamente con el pasar de los días.
Avatar de Usuario
Alejandro
Administrador
 
Mensajes: 4096
Registrado: May 2009, 18:28
Ubicación: Uruguay
Twitter: @spamloco

Re: ¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 18:00

Yo las bloqueaba para evitar penalizaciones, pero supongo que tienes razón, ya las he quitado del robots.txt. Si aparece otra la dejaré así para que Google por sí mismo se dé cuenta de que no existe.

EDITO: acabo de notar algo más: yo había estado buscando por site:manueldelafuente.com, pero si se busca usando las www; es decir, site:www.manueldelafuente.com, salen 5 entradas del spammer y algunas antiguas mías. Creo que esto acaba de confirmar el hecho de que sí son URLs antiguas las que han estado apareciendo.

Vaya con Google y sus locuras. ¬¬
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte

Re: ¿Estará infectado mi blog?

Notapor Manuel de la Fuente » Jul 2013, 18:18

También añado que el bonito de Bing no me ha indexado ni una entrada a pesar de que le envié los sitemaps el mismo día que a Google. Lo único que tiene de mi blog en su índice son:

  • Entradas antiguas, algunas de 2 años atrás y otras de cuando el blog estuvo en pruebas en WordPress.com (de abril a junio de este año).
  • Páginas de archivos, categorías, tags y el feed; que irónicamente son las que en el robots.txt dice que NO indexe, pero parece que lo entendió al revés y prefirió indexar solo esas e ignorar todo lo demás; y
  • La página principal, que ya sería mucho si no indexara ni eso.

Por lo que concluyo que en estos dos años ese buscador no ha dejado de ser una basura, según veo.
Avatar de Usuario
Manuel de la Fuente
Nivel 7
 
Mensajes: 551
Registrado: May 2009, 15:33
Ubicación: México
Twitter: @ManuelFte

Re: ¿Estará infectado mi blog?

Notapor elQuique » Jul 2013, 02:55

Lo peor de bing no es que no te indexe, es que te indexe y consuma ancho de banda haciéndolo, ya que indexado o no, igual no manda visitas :P

No se si se llama Bing porque es como ganar el BINGo que te lleguen visitas, o si el que lo ideo era medio analfabeto y le gustaba el BINo y bajo su influencia lo nombró en su honor.
Avatar de Usuario
elQuique
Moderador
 
Mensajes: 2230
Registrado: May 2009, 18:43
Ubicación: Florida, Uruguay
Twitter: @elQuique