Японские иероглифы в выдаче Google: как убрать японский взлом

Если в поиске под вашим сайтом появились тысячи страниц с японскими иероглифами и чужими товарами, это японский взлом: сайт превратили в генератор спам-страниц. Код при этом обычно лежит в базе и в правилах сервера, поэтому антивирус хостинга молчит, а вы у себя ничего не видите. Ниже: как это распознать, где искать, как вычистить и вернуть сайт в индекс.

Содержание
  1. Что это: японский взлом
  2. Как понять, что это он
  3. Проверьте сайт прямо сейчас
  4. Чем это опасно
  5. Где лежит код
  6. Как вычистить по шагам
  7. Почему спам возвращается
  8. Если Joomla или WordPress
  9. Когда звать специалиста

Что это: японский взлом вашего сайта

Если вы вбили в Google site:вашсайт.ру и увидели тысячи страниц с японскими или китайскими иероглифами, которых вы никогда не создавали, это японский взлом (его называют japanese keyword hack). Ваш сайт превратили в генератор дорвеев: автоматических спам-страниц, которые продвигают чужие товары (чаще всего контрафактные бренды), паразитируя на доверии вашего домена.

Пугаться цифр не надо, но и тянуть нельзя: в реальных случаях индекс за пару недель разрастается со ста страниц до десятков и сотен тысяч. Это не косметика, а прямой удар по позициям вашего настоящего сайта.

Как понять, что это именно он

Признаки, по которым японский взлом выдаёт себя:

  • В поиске site:вашсайт сотни и тысячи страниц с иероглифами и чужими товарами.
  • Резкий скачок числа страниц в индексе: было 100, стало 50 000.
  • В Google Search Console раздел «Проблемы безопасности» показывает «Обнаружен взломанный контент» или «Внедрённые страницы».
  • Google под вашим сайтом пишет «Этот сайт может быть взломан».
  • Сами эти страницы у вас в браузере часто не открываются или редиректят: их видит только поисковый робот. Это клоакинг.

Проверьте сайт прямо сейчас

Ключевая особенность этого взлома: сайт по-разному отвечает поисковому роботу и обычному посетителю (клоакинг). Именно поэтому вы у себя ничего не видите, а в выдаче спам. Инструмент откроет ваш сайт и глазами Googlebot, и глазами обычного посетителя, и покажет, если ответы отличаются. Доступ к сайту не нужен.

Проверяю: клоакинг (разный ответ поисковику), мобильный редирект, следы дефейса, CMS и её версию.

Проверяю сайт снаружи...

Чем это опасно

Японский взлом бьёт не по внешнему виду, а по самому ценному, по позициям и репутации домена:

  • Ваши настоящие страницы вылетают из индекса, их вытесняет спам.
  • Google вешает на сайт метку «может быть взломан», и по ней уходят и посетители, и доверие.
  • Позиции по вашим реальным запросам падают, иногда до нуля.
  • Растёт нагрузка на хостинг от генерации тысяч страниц, вплоть до блокировки аккаунта.
  • Чем дольше это висит, тем дольше потом Google возвращает доверие к домену.

Где именно лежит код

Дорвеи почти всегда генерируются на лету, а не лежат готовыми файлами. Проверять надо:

  • .htaccess в корне и подпапках: правила, которые отдают спам только роботу или редиректят.
  • index.php и файлы активного шаблона или темы: инъекция в первых строках.
  • Подозрительная папка со случайным именем, в которой лежит генератор страниц.
  • Свой sitemap: взломщики подсовывают отдельную карту со ссылками на спам и отправляют её в Google, чтобы он быстрее всё проиндексировал.
  • База данных. В WordPress спам-записи прячут в wp_posts со статусом, скрытым от обычного вывода. В Joomla смотрите инъекции в контенте и параметрах шаблона.
  • Задания cron: восстанавливают генератор после того, как вы его удалили.

Антивирус хостинга тут обычно молчит: он проверяет известные сигнатуры в файлах, а страницы генерируются динамически и в базе. Тишина сканера не значит, что сайт чист.

Как вычистить по шагам

  1. Оцените масштаб: site:вашсайт в Google, чтобы увидеть, сколько спам-страниц в индексе.
  2. Откройте Search Console, раздел «Проблемы безопасности»: там Google показывает примеры внедрённых страниц.
  3. Найдите точку генерации: .htaccess, index.php, чужая папка, подменённый sitemap.
  4. Удалите генератор и вредоносный код из файлов и базы.
  5. Удалите поддельный sitemap и оставьте только свой.
  6. Смените все пароли, удалите лишних администраторов, обновите CMS и расширения.
  7. Проверьте cron.
  8. В Search Console запросите повторную проверку, чтобы Google снял метку и начал выкидывать спам из индекса.

Почему после чистки спам возвращается

Потому что убрали видимые страницы, а не генератор. Возвращается, если:

  • остался бэкдор или веб-шелл, который заново создаёт дорвеи;
  • задание cron восстанавливает код по расписанию;
  • остался лишний администратор;
  • не закрыта уязвимость, через которую зашли.

Убрать спам-страницы и закрыть вход это две разные работы. Пока открыта дыра, Google будет находить новые дорвеи быстрее, чем вы их удаляете.

Если сайт на Joomla или WordPress

Joomla. Особенно уязвима Joomla 3: она не патчится с 17 августа 2023 года. Заход часто идёт через уязвимости расширений (JCE, SP Page Builder) или шаблонного фреймворка Helix3. Без перехода на поддерживаемую версию 5 или 6 сайт заражают снова.

WordPress. Смотрите таблицы wp_posts и wp_options, файл functions.php активной темы и папку uploads: в ней не должно быть .php-файлов. Чаще всего заходят через заброшенный или уязвимый плагин.

Когда звать специалиста

Есть смысл не терять время самому, если:

  • вы уже удаляли страницы, а они вернулись в индекс;
  • генератор в базе, а не в файлах, и антивирус хостинга молчит;
  • Google повесил метку «может быть взломан» и позиции падают;
  • хостинг заблокировал аккаунт за вредоносное ПО;
  • надо не только вычистить, но и грамотно вернуть сайт в индекс.

Чищу японский и любой другой взлом на любой CMS, закрываю точку входа и помогаю вернуть сайт в индекс, а не только удаляю спам. Диагностика 0 zł, чистка от 700 zł. Работаю с владельцами сайтов из Польши и Украины, а также с русскоязычными в ЕС. С юридическими лицами, зарегистрированными в России, не работаю: это ограничение санкций ЕС.

Подробнее и заявка

Частые вопросы

Почему у меня в индексе тысячи страниц, которых я не создавал?

Ваш сайт взломали и превратили в генератор дорвеев: он автоматически создаёт спам-страницы под чужие товары. Google их индексирует, поэтому в выдаче их тысячи. Сами страницы обычно генерируются на лету и в базе, а не лежат файлами, поэтому в панели сайта вы их не видите.

Google написал «этот сайт может быть взломан», это оно?

Часто да. Японский взлом это одна из самых частых причин этой метки. Google находит на сайте внедрённые спам-страницы и предупреждает пользователей. Метка снимается после чистки и запроса повторной проверки в Search Console, но не мгновенно.

Я удалил спам-страницы, а они снова в индексе. Почему?

Потому что удалили результат, а не генератор. Где-то остался бэкдор, задание cron или незакрытая уязвимость, и код создаёт дорвеи заново. Пока не найдена и не закрыта точка входа, спам будет возвращаться.

Это повредит позициям моего сайта?

Да, и сильно. Спам-страницы вытесняют ваши настоящие из индекса, метка Google отпугивает посетителей, а позиции по вашим запросам падают. Чем дольше взлом висит, тем дольше потом Google восстанавливает доверие к домену.

Антивирус хостинга ничего не находит, почему?

Потому что он проверяет файлы по известным сигнатурам, а дорвеи генерируются динамически, часто из базы данных и через условия в .htaccess. Файлы при этом могут быть чистыми. Тишина сканера не доказывает, что сайт в порядке.

Сколько занимает чистка и возврат в индекс?

Сама чистка и закрытие дыры это обычно от нескольких часов. А вот на то, чтобы Google выкинул спам из индекса и снял метку, уходит от нескольких дней до пары недель после запроса повторной проверки, это зависит уже от Google, а не от исполнителя.

Telegram