Pharma hack: jak usunąć spam apteczny (viagra) z Google

Jeśli Google pokazuje strony o viagrze, cialisie lub innych tabletkach pod Twoją domeną, to popularny atak zwany pharma hackiem. Na stronie umieszczany jest skrypt, który tworzy strony spamowe z reklamą podrabianych leków i zarabia na aptekach afiliacyjnych. Twoje treści nadal są, ale indeks wyszukiwania jest zaśmiecony obcymi stronami, a Google może oznaczyć stronę jako zhakowaną. Poniżej: jak potwierdzić, że to pharma hack, gdzie ukryty jest backdoor i jak wyczyścić spam, aby nie wrócił.

Spis treści
  1. Co to jest
  2. Jak potwierdzić
  3. Sprawdź stronę teraz
  4. Dlaczego niebezpieczne
  5. Gdzie siedzi kod
  6. Wyczyść krok po kroku
  7. Joomla lub WordPress
  8. Kiedy wezwać specjalistę

Co to jest: pharma hack

Pharma hack to wstrzyknięcie na cudzą stronę stron spamowych i słów kluczowych o lekach. Schemat jest zawsze podobny:

  • Wgrywany jest backdoor, który tworzy strony z reklamą viagry, cialisu i innych tabletek.
  • Częsty jest cloaking: botowi wyszukiwarki podaje się stronę apteczną, zwykłemu użytkownikowi normalną witrynę. Dlatego właściciel długo tego nie zauważa.
  • Strony zarabiają przez programy afiliacyjne podrabianych aptek internetowych.

Jak potwierdzić, że to pharma hack

Charakterystyczne oznaki pharma hacka:

  • Zapytanie site:twojadomena w Google pokazuje strony ze słowami viagra, cialis i pills.
  • W snippetach Twojej strony pojawiają się apteczne tytuły i opisy, których nie pisałeś.
  • Przy wejściu z wyszukiwarki strona czasem otwiera aptekę internetową.
  • Raport „Problemy z bezpieczeństwem" w Search Console zgłasza zhakowane treści.

Sprawdź stronę teraz

Narzędzie otworzy Twoją stronę z zewnątrz oczami bota wyszukiwarki i odwiedzającego z telefonu. To zwykle im podaje się wersję apteczną. Cloaking, przekierowanie i przestarzały CMS będą widoczne od razu. Dostęp do strony nie jest potrzebny.

Sprawdzam: defacement, mobilne przekierowanie, cloaking, wersję CMS i czy jest aktualna.

Sprawdzam stronę z zewnątrz...

Dlaczego to niebezpieczne

Spam apteczny to nie tylko śmieci w wynikach:

  • Indeks jest zaśmiecany obcymi stronami, a Twoje własne spadają w rankingu.
  • Google oznacza stronę jako zhakowaną i w wynikach pojawia się ostrzeżenie.
  • Domena traci zaufanie: powiązanie z podrabianymi lekami szkodzi reputacji.
  • Dopóki backdoor żyje, liczba stron spamowych rośnie każdego dnia.

Gdzie dokładnie siedzi kod

Aby usunąć spam na dobre, trzeba znaleźć mechanizm, a nie tylko same strony:

  • Backdoor: nieznane pliki .php o losowych nazwach w folderach uploads, media lub cache.
  • Cloaking: kod w index.php lub plikach szablonu sprawdza, kto wchodzi, często przez eval(base64_decode(...)).
  • Baza danych: wstrzyknięcie w parametry szablonu lub wpisy, z których składane są strony.
  • Reguły w .htaccess oraz obca mapa witryny z adresami aptecznymi.
  • Zadanie cron: odtwarza strony i backdoor po usunięciu.

Dlatego antywirus hostingu często milczy: część logiki jest w bazie, a pliki backdoora podszywają się pod legalne.

Jak wyczyścić krok po kroku

  1. Zmień wszystkie hasła: panel administracyjny, FTP i SSH, baza, panel hostingu.
  2. W Search Console sprawdź listę właścicieli witryny i usuń tych, których nie dodawałeś.
  3. Znajdź i usuń backdoory: nieznane pliki .php, sprawdź daty modyfikacji.
  4. Usuń wygenerowane strony apteczne i obcą mapę witryny, wyślij Google swoją prawdziwą mapę.
  5. Sprawdź bazę i zadania cron pod kątem kodu, który odtwarza strony.
  6. Zaktualizuj CMS i rozszerzenia, zamknij podatność użytą do wejścia.

Jeśli strona jest na Joomli lub WordPressie

Joomla. Najbardziej narażona jest Joomla 3, bez aktualizacji zabezpieczeń od 17 sierpnia 2023. Wchodzą przez podatne rozszerzenia, a backdoora ukrywają w folderze media lub w parametrach szablonu w bazie. Bez przejścia na wersję 5 lub 6 spam wraca.

WordPress. Zajrzyj do folderu uploads (nie powinno w nim być plików .php), do tabel wp_options i wp_posts oraz pliku functions.php aktywnego motywu. Wejściem jest zwykle zaniedbana wtyczka.

Kiedy wezwać specjalistę

Warto nie tracić czasu, jeśli:

  • usuwałeś strony, a wygenerowały się ponownie;
  • w Search Console jest obcy właściciel i nie masz pewności, jak wszystko wyczyścić;
  • backdoor się nie znajduje, a spam się mnoży;
  • Google już oznaczył stronę jako zhakowaną;
  • nie ma działającej czystej kopii zapasowej.

Czyszczę spam apteczny na dowolnym CMS: usuwam strony, znajduję backdoor, porządkuję Search Console i zamykam wejście, aby nie wróciło. Diagnostyka jest bezpłatna. Pracuję z właścicielami stron z Ukrainy, z Polski i z rosyjskojęzycznymi w UE. Z osobami prawnymi zarejestrowanymi w Rosji nie współpracuję: to ograniczenie sankcji UE.

Szczegóły i zgłoszenie

Częste pytania

Google pokazuje reklamy viagry pod moją stroną. Mam wirusa na komputerze?

Nie, to włamanie na samą stronę, tak zwany pharma hack. Wgrano skrypt, który tworzy apteczne strony spamowe. Twój komputer i przeglądarka nie mają z tym nic wspólnego, problem jest na serwerze strony.

Usunąłem strony apteczne, a wróciły. Dlaczego?

Bo został backdoor lub zadanie cron, które tworzą je ponownie, i nie zamknięto wejścia. Usunięcie stron i usunięcie mechanizmu to dwie różne rzeczy. Bez znalezienia backdoora spam wraca w ciągu dnia.

Wchodzę na stronę i nie widzę żadnej viagry. Skąd ona w Google?

To cloaking: strony apteczne pokazują się tylko botowi wyszukiwarki, a Tobie strona wygląda normalnie. Google indeksuje to, co widzi bot, dlatego spam widać w wynikach, a nie na samej stronie.

Antywirus hostingu mówi, że wszystko czyste. Dlaczego jest spam?

Bo część mechanizmu jest w bazie danych, a pliki backdoora podszywają się pod legalne i nie mają znanych sygnatur. Skan sygnaturowy ich nie widzi. Cisza skanera nie oznacza, że strona jest czysta.

Czy mogę po prostu poprosić Google o usunięcie tych stron?

Możesz usunąć je z wyników, ale to nie naprawa. Dopóki backdoor żyje, strony tworzą się ponownie szybciej, niż zdążysz je usuwać. Najpierw wyczyść stronę, a dopiero potem usuwaj strony z indeksu.

Telegram