PixelG

Seguridad

Mi sitio web ha sido hackeado

“Escribo mi dominio en Google y cuando le doy clic me lleva a otro sitio web”. Si ese es tu caso y no has realizado ningún cambio para redirigir tu dominio, entonces has sido hackeado.

Para comprender mejor el problema lo describo a continuación:

Abrir cualquier explorador e ir a Google.com. En la barra de búsqueda escribir el dominio y Google arrojara todas las coincidencias de la búsqueda, tal y como se muestra en la imagen. Al darle clic al enlace del dominio, abrirá un sitio totalmente diferente.

Referencia de búsqueda de dominio
Referencia de búsqueda de dominio en Google

Los spammers generan este tipo de ataques, y usualmente las consecuencias de estos, pueden permanecer activas por mucho tiempo sin que siquiera te des cuenta, ya que si ingresas directamente al sitio escribiendo el dominio en el explorador todo parecerá normal, incluso si escaneas el sitio con cualquier herramienta de detección de virus no tendrás ninguna notificación de incidencia al respecto.

El objetivo principal es redireccionar usuarios a un sitio especifico a través de miles de sitios infectados y es muy conocido por afectar los CMS más conocidos.

Solución

Para conseguir tomar el control del dominio y que Google vuelva a redirigir al sitio, debes de seguir algunos pasos, en este caso, los he dividido en 2, Identificar las líneas de códigos maliciosos y encontrar / eliminar los archivos necesarios.

Identificar las líneas de códigos maliciosos

Ingresar al hosting > Explorador de archivos > ubica y abre el archivo .htaccess

Identifica una línea de código similar a:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /dragons-arraigns.php?q=$1 [L]

Las variables pueden cambiar y “dragons-arraigns.php” hace referencia al dominio que se está redirigiendo. Es importante que tomes en cuenta que puede haber más de un archivo htaccess y todos tienen que ser revisado.

Las variables pueden cambiar y  "dragons-arraigns.php" hace referencia al dominio que se está redirigiendo. Es importante que tomes en cuenta que puede haber más de un archivo htaccess y todos tienen que ser revisado.

El archivo “.htaccess” que contenga la línea de código arriba descrita deberá ser reemplazado por un nuevo archivo htaccess respectivo al CMS utilizado.

En los siguientes enlaces podrás encontrar más información de los archivos htaccess de los CMS más populares:

Encontrar archivos maliciosos y eliminarlos

Antes de eliminar cualquier archivo, mi recomendación es que realices unrespaldo del sitio y que navegues por cada carpeta detenidamente buscando archivos fuera del patrón de la estructura del CMS. Puedes iniciar la búsqueda con el archivo “dragons-arraigns.php” que se hace referencia en la línea de código encontrada y eliminarlo.

Recuerda que el nombre de un archivo malicioso puede variar*

Otra forma de encontrar archivos maliciosos, es buscar los que tienen un patrón diferente a la estructura original del CMS. Por ejemplo, de arriba hacia abajo, el 2, 3 y el 6, no concuerdan, por tanto, deben de ser eliminados.

Otra forma de encontrar archivos maliciosos, es buscar los que tienen un patrón diferente a la estructura original del CMS. Por ejemplo, de arriba hacia abajo, el 2, 3 y el 6, no concuerdan, por tanto, deben de ser eliminados.

¿Qué sigue después del paso 1 y 2?

  1. Cambia la contraseña del CMS que usas.
  2. Cambia la contraseña del Web Hosting.
  3. Utiliza la inspección de URL de Google Search Console para revisar que no quede ningún remanente el ataque.
  4. Abre Google y verifica que tu dominio no siga redirigiendo a otro sitio.

¿Cómo se ve un sitio spammer o al cual puede estar redirigiendo tu dominio?

Se tiene registro de una gran cantidad de sitios que ofrecen productos farmaceuticos.

Ejemplo de sitio web spammer

Recursos adicionales:

Cyber Security and Ethical Hacking Full Amharic Course
DonNerd.com

Cyber Security and Ethical Hacking Full Amharic Course – Udemy

Ver curso