De la manera más tonta puedes llegar a descubrir que la web de un conocido tuyo ha sido hackeada, quizás por la manía automática de hacerle un «site:» al dominio de turno que cae en tus manos.
El caso es que sabiendo de antemano que la susodicha web no debería tener apenas resultados indexados por la tecnología con la que está creada, vas a Google y es donde empieza la curiosidad a hacer el resto.
Zas! Nada más y nada menos que 5780 resultados y la mayoría de esta guisa:
Y el aspecto al hacer clic en uno de los resultados, pues algo así como:
Brujuleando un poco por Internet y preguntando a personas que pilotan de programación y tecnologías pues parece SQL injection o bueno, que han descifrado claves de FTP y han podido hacer destrozos varios a distintas webs, no sé si de forma automática o para pasar el rato.
Lo siguiente que me dio por pensar fue que al hilo de técnicas como «broken link building» que comentan en seomoz y otros sitios, quizás podemos aplicar algo cercano y no solo echar un cable avisando a estas webs hackeadas y ayudarles a solucionarlo, sino también aprovechar para presentar «nuestra tarjeta de visita» como expertos web (que no solo de SEO vivimos).
Pues pensando en términos «nacionales», presuponiendo que la gente aún usa dominios .es allá voy con el truco de sacar listados de webs con seoquake
Esto nos deja un panorama como el que sigue:
Ahora quien quiera, que haga búsquedas más refinadas y filtre un poquito, por si quiere analizar algún sector en concreto o se le ocurre otra cosa para ingenio de la comunidad 😀
Con un listado de urls, puliendo http://, www., y los deep links (/*), pues ya solo me queda quitar duplicados y alrededor de 70 páginas para echar un vistazo. Cosas que me llaman la atención de los sites analizados, desde la perspectiva de los tipos de hackeo:
- La mayoría de sites analizados tiene su vulnerabilidad en zonas de foros y comentarios, donde reciben todo este spam y ataques de forma indiscriminada, pero el resto de páginas se mantiene aparentemente con su contenido normal.
- Los sites que aparecen como la segunda imagen, no contienen links apuntando hacia fuera, sino que parece un simple ataque por pasar el tiempo (en un caso he observado que aparece firmado por el hacker autor de la obra). ¿Quizás puedan ser introducidos links después de indexarse los contenidos?
- Otro de los sites analizados, tiene la particularidad de tener una redirección que una vez pulsas en el resultado de Google, te lleva a otra web. Entiendo que estos, si están «robando» bastante tráfico.
Y ahora desde el punto de vista del dueño de la web hackeada:
- Blogs y sitios web ciertamente obsoletos o, directamente, abandonados. El spam permanece indexado sin más.
- Webs hechas en tecnologías como la primera que yo analicé y que repiten el mismo patrón: deberían tener unos pocos resultados indexados y sin embargo, tienen miles. Afinando la búsqueda con site:dominio y palabras tipo «dre», «discount loewe», etc. podremos revisar hasta donde llega el ataque. En algunos casos se han borrado esas urls y ofrecen correctamente un 404, sin embargo quizás sería conveniente pensar en desindexarlos, pero por ejemplo, muchos carecen también de robots.txt.
- La mayoría ha conseguido limpiar «lo más gordo» dentro de páginas de productos y contenidos importantes, y se queda el spam a la deriva de libros de visita, foros y comentarios.
- Algún caso aislado donde se ha limpiado el 95% del daño, tanto dentro del site como en las hojas de resultados de Google, donde aparecen quizás un par de resultados indexados, vestigios del ataque.
Moralejas:
Si tienes una web que tu fuente de ingresos: protégela
Si tienes una web que forma parte de tu imagen: protégela
Si tienes una web: protégela
Y nada, ya sabéis, si os contacto para avisaros de que tenéis la web hackeada, no será para venderos nada, solo será para ayudar 😀
PD: Un librito de ayuda: Securing SQL Server
