Japońskie znaki w Google: jak usunąć japoński hack strony

Jeśli Google pokazuje strony z japońskimi znakami w tytułach pod Twoją domeną, to popularny atak zwany japońskim hackiem (Japanese keyword hack). Na stronie umieszczany jest skrypt, który masowo generuje strony spamowe po japońsku, aby zarabiać na linkach afiliacyjnych. Twoje treści nadal są, ale indeks wyszukiwania jest zalany tysiącami obcych stron. Poniżej: jak potwierdzić, że to ten hack, gdzie ukryty jest backdoor i jak wyczyścić, aby spam nie wrócił.

Spis treści
  1. Co to jest
  2. Jak potwierdzić
  3. Sprawdź stronę teraz
  4. Dlaczego niebezpieczne
  5. Gdzie siedzi kod
  6. Wyczyść krok po kroku
  7. Joomla lub WordPress
  8. Kiedy wezwać specjalistę

Co to jest: japoński hack strony

Japoński hack to automatyczne generowanie stron spamowych po japońsku na cudzej witrynie. Schemat jest zawsze podobny:

  • Wgrywany jest backdoor, który tworzy tysiące stron z japońskimi tytułami i linkami do podejrzanych sklepów.
  • Atakujący często dodaje siebie jako właściciela witryny w Google Search Console, aby sterować indeksowaniem i wysyłać własną mapę witryny.
  • Strony celują w japońskie zapytania, dlatego w Twoim kraju nie rzucają się w oczy od razu, a zjadają ruch i zaufanie domeny.

Jak potwierdzić, że to ten hack

Charakterystyczne oznaki japońskiego hacka:

  • Zapytanie site:twojadomena w Google pokazuje strony z japońskimi znakami w tytułach i opisach.
  • W Search Console liczba zaindeksowanych stron gwałtownie wzrosła, ze stronami, których nie tworzyłeś.
  • Dostałeś e-mail od Google o nowym właścicielu witryny, którego nie dodawałeś.
  • Raport „Problemy z bezpieczeństwem" zgłasza zhakowane treści.

Sprawdź stronę teraz

Narzędzie otworzy Twoją stronę z zewnątrz oczami bota wyszukiwarki i odwiedzającego z telefonu. Cloaking, przekierowania i przestarzały CMS będą widoczne od razu. Dostęp do strony nie jest potrzebny.

Sprawdzam: defacement, mobilne przekierowanie, cloaking, wersję CMS i czy jest aktualna.

Sprawdzam stronę z zewnątrz...

Dlaczego to niebezpieczne

Japoński spam to nie tylko brzydki widok w wynikach:

  • Indeks jest zalewany tysiącami obcych stron, a Twoje własne spadają w rankingu.
  • Google może oznaczyć stronę jako zhakowaną i w wynikach pojawi się ostrzeżenie.
  • Strony spamowe często prowadzą do sklepów afiliacyjnych lub przekierowują odwiedzających.
  • Dopóki backdoor żyje, liczba stron rośnie każdego dnia.

Gdzie dokładnie siedzi kod

Aby usunąć spam na dobre, trzeba znaleźć mechanizm, a nie tylko same strony:

  • Backdoor: nieznane pliki .php w losowych folderach (uploads, media, cache), często o losowych nazwach.
  • Baza danych: wstrzyknięcie w parametry lub wpisy, z których generowane są strony.
  • Obca mapa witryny: mapa z japońskimi adresami URL, w katalogu głównym lub w Search Console.
  • Zadanie cron: odtwarza strony i backdoor po usunięciu.

Dlatego antywirus hostingu często milczy: część logiki jest w bazie, a pliki backdoora podszywają się pod legalne.

Jak wyczyścić krok po kroku

  1. Zmień wszystkie hasła: panel administracyjny, FTP i SSH, baza, panel hostingu.
  2. W Search Console sprawdź listę właścicieli witryny i usuń tych, których nie dodawałeś.
  3. Znajdź i usuń backdoory: nieznane pliki .php, sprawdź daty modyfikacji.
  4. Usuń wygenerowane strony spamowe i obcą mapę witryny, wyślij Google swoją prawdziwą mapę.
  5. Sprawdź bazę i zadania cron pod kątem kodu, który odtwarza strony.
  6. Zaktualizuj CMS i rozszerzenia, zamknij podatność użytą do wejścia.

Jeśli strona jest na Joomli lub WordPressie

Joomla. Najbardziej narażona jest Joomla 3, bez aktualizacji zabezpieczeń od 17 sierpnia 2023. Wchodzą przez podatne rozszerzenia, a backdoor ukrywają w folderach media lub images. Bez przejścia na wersję 5 lub 6 spam wraca.

WordPress. Zajrzyj do folderu uploads (nie powinno w nim być plików .php), do wp_options i wp_posts oraz plików aktywnego motywu. Wejściem jest zwykle zaniedbana wtyczka.

Kiedy wezwać specjalistę

Warto nie tracić czasu, jeśli:

  • usuwałeś strony, a wygenerowały się ponownie;
  • w Search Console jest obcy właściciel i nie masz pewności, jak wszystko wyczyścić;
  • backdoor się nie znajduje, a spam się mnoży;
  • Google już oznaczył stronę jako zhakowaną;
  • nie ma działającej czystej kopii zapasowej.

Czyszczę japoński spam na dowolnym CMS: usuwam strony, znajduję backdoor, porządkuję Search Console i zamykam wejście, aby nie wróciło. Diagnostyka jest bezpłatna. Pracuję z właścicielami stron z Ukrainy, z Polski i z rosyjskojęzycznymi w UE. Z osobami prawnymi zarejestrowanymi w Rosji nie współpracuję: to ograniczenie sankcji UE.

Szczegóły i zgłoszenie

Częste pytania

Google pokazuje japońskie znaki pod moją stroną. Mam wirusa?

Nie, to włamanie na samą stronę, tak zwany japoński hack (Japanese keyword hack). Wgrano skrypt, który generuje japońskie strony spamowe. Twój komputer i przeglądarka nie mają z tym nic wspólnego, problem jest na serwerze strony.

Usunąłem strony spamowe, a wróciły. Dlaczego?

Bo został backdoor lub zadanie cron, które generuje je ponownie, i nie zamknięto wejścia. Usunięcie stron i usunięcie mechanizmu to dwie różne rzeczy. Bez znalezienia backdoora spam wraca w ciągu dnia.

Google dodał nowego właściciela, którego nie dodawałem. Co to?

Typowa część japońskiego hacka: atakujący potwierdza własność w Search Console, aby sterować indeksowaniem i wysyłać własną mapę witryny. Takiego właściciela trzeba usunąć z listy i znaleźć, jak potwierdził własność (plik weryfikacyjny lub wpis DNS).

Antywirus hostingu mówi, że wszystko czyste. Dlaczego jest spam?

Bo część logiki jest w bazie danych, a pliki backdoora podszywają się pod legalne i nie mają znanych sygnatur. Skan sygnaturowy ich nie widzi. Cisza skanera nie oznacza, że strona jest czysta.

Czy mogę po prostu poprosić Google o usunięcie tych stron?

Możesz usunąć je z wyników, ale to nie naprawa. Dopóki backdoor żyje, strony generują się szybciej, niż zdążysz je usuwać. Najpierw wyczyść stronę, a dopiero potem usuwaj strony z indeksu.

Telegram