En el Foro para Webmasters de Google donde soy colaborador suelen llegar personas con sus sitios infectados buscando alguna solución, los síntomas que detectan son muy variados pero muchas veces comentan que alguien no autorizado se ha verificado como propietario de sus sitios en la Search Console (ex Herramientas para Webmasters).
Para que alguien desde afuera logre verificarse tiene que tener cierto control sobre la web para poder subir un archivo HTML al servidor o agregar una metaetiqueta de verificación. Hay otros métodos para verificar los sitios, pero estos dos suelen ser los más utilizados.
En un sitio vulnerable lograr subir archivos de forma arbitraria es posible, así que no sería extraño que suban el archivo HTML de Google, pero muchas veces me he preguntado ¿por qué los spammers se verifican como propietarios cuando infectan un sitio?
Cuando un nuevo usuario se verifica en la Search Console, el propietario original o administrador recibe una advertencia por correo como la anterior. Por lo cual no tiene sentido que los atacantes se verifiquen, pues automáticamente se están delatando en lugar de pasar desapercibidos el mayor tiempo posible.
Sin embargo el hecho de que se verifiquen como propietarios tiene mucho sentido y es algo que les permite mejorar sus campañas de spam.
Generalmente un propietario que no actualiza su sitio ya sea un WordPress o Joomla por ejemplo, tampoco le presta mucha atención a la Search Console y sus advertencias. Por lo cual el e-mail del nuevo propietario verificado puede pasarse por alto o ignorarse, incluso no entenderse su significado.
Además muchos webmasters no tienen sus sitios agregados en la Search Console por lo cual nunca recibirían advertencias. También pueden tener verificadas las versiones incorrectas, ya que no es lo mismo un sitio con www y sin www, o un sitio con http y https, para cada una de las versiones se podrían recibir diferentes mensajes.
Una vez que los spammers tienen acceso a la Search Console pueden incluso eliminar al propietario original para que este deje de recibir futuros mensajes, como las advertencias de seguridad que alertan de la infección del sitio.
También pueden enviar un Sitemap con todas las URLs spam que han creado dentro del sitio para que se indexen más rápido. También utilizar herramientas como Explorar como Google para enviar páginas al índice, y solicitar su eliminación de forma rápida de los resultados.
Pueden además reaccionar ante un bloqueo del sitio que desactivaría sus campañas, si por ejemplo Google detecta que hay spam o contenido malicioso y bloquea al sitio, el atacante recibirá una advertencia en la Search Console y podrá solucionarlo cambiando el spam de lugar y así volver a beneficiarse del sitio infectado.
Esta rápida reacción además podría evitar que el dueño original vea las advertencias de seguridad que normalmente aparecen en los navegadores al intentar acceder al sitio.
Ahora queda más claro por qué los spammers se verifican como propietarios de los sitios que infectan, si bien es cierto que es algo que puede delatarlos, también les permite tener un control mucho mayor y más efectivo.
Eliminando a los propietarios no autorizados:
Desde la Search Console es posible eliminar a otros propietarios y en ese sentido la ayuda de Google es bastante clara explicando todos los pasos.
Hay que tener en cuenta que con sólo eliminar a los propietarios spammers no se soluciona el problema, ya que se volverán a verificar si el sitio aún es vulnerable.
Para que la eliminación sea efectiva, además de asegurar el sitio para que no vuelva a suceder, se debe eliminar el método de verificación que utilizó el spammer. Si por ejemplo subió un archivo HTML para verificarse, hay que eliminar ese archivo, de lo contrario el propietario spammer no se puede dar de baja o anular.
Esto suele ser un problema y no es extraño que los usuarios comenten que no encuentran en la raíz del servidor el archivo HTML de verificación o la metaetiqueta en el código fuente. Y es algo interesante porque los atacantes utilizan diferentes técnicas para ocultar estos métodos de verificación.
Un truco sencillo de ejemplo, agregando la siguiente línea en el htaccess el archivo de verificación HTML de Google parecerá cargarse desde la raíz del dominio, pero en realidad el archivo real se encontrará fuera de la raíz en el directorio /spammer/:
RewriteRule ^googlec123456789\.html$ /spammer/google123456789.html [L,NC]
Este código camuflado en el htaccess puede ser difícil de encontrar, tambié si se coloca en un archivo de configuración de nivel superior dentro del servidor. Hay métodos más complejos que involucran también a PHP, se puede ver un clásico ejemplo aquí junto a otros códigos que suelen utilizar los spammers.
Así que a tener cuidado con los propietarios no autorizados y estar siempre atentos a los mensajes de la Search Console.