Soporte » Seguridad » Mis anuncios de Google no funcianan por links desconocidos

  • Buenos días:

    Hace varios días sufrí un ataque en mi página web. No estoy segura pero creo que tuvo que ver con este incidente mundial https://blog.sucuri.net/2020/09/critical-vulnerability-file-manager-affecting-700k-wordpress-websites.html
    Luego de tomar todas las recomendaciones, limpiar la página, hablar con el hosting, limpiar la base de datos, hacer todo lo que se menciona y lo recomendado, Google no acepta mis anuncios porque dice que hay links sospechosos en el sitio. Me ha dado la siguiente lista de links MALICOSOS:

    https://asfsdgrage3.live/?utm_campaign=QPF8euu28II5lw7O2iHhCidoSOXmw5oLxD6bwphw43U1&t=main9
    https://asfsdgrage3.live/media/mainstream/pixel.html
    https://hpeprovisioning16.live/8487726656/?utm_campaign=QPF8euu28II5lw7O2iHhCidoSOXmw5oLxD6bwphw43U1&t=main9&f=1&sid=t3~inimt10yjbvdgzejrejebqtt&fp=HdLuGh4LOgMtpmGpO%2Be%2FAIK818UQlSI43oWUjZ4FVV3c8co0dzjqE7YNZmquQaNorxnhi%2FJtoHye%2FDjXUHpLuyiECSW9MI7PJ4cpPoYhV5cbUpX20%2FAbLUlQ8%2F8I1Y7MP1usfUSViDVJgokGKqgJqywPvlcKttSBlSKbzBpAXcsCgDb3ExP3LzauBya48SAS0ZbfsWt%2FyM1wssLB9pMZ2SVDqBZ9ym5i3Kghg6k%2FWtkReYD8hBB0b1jLE0B%2BuxLfH4FcqjWJ%2BTERIIMXWcHciLQh7pcq8PfdsCUO3fKAN3KMRVPFlAOMsoZ63%2BPQQpaTNYu%2FwT17Bqx1zCBXrKZDD6pDP346q0sqFvHn78hkR%2BrshysJFcRc%2BBx%2BbTxVEzYlVvmx0VCqzD6tj69uU8GeL0aT7%2FRzgDGnHbk33EpvkAKjbLT7WGv79G%2BbGRmHW0iQYWdudPGfIebmyyPRCz%2F9BB8sR0m7GY7cIUgQn6AhDu8%2BGx1fKjzCZzLqPCjnEh%2FoBuCcGHBc%2FggzvP%2FnAwS%2BYq94SuVrH3Hac0YQat2GCzmWWO7S6H4MU%2FYsMJ%2F6m5mOonOpc6OyxE2itc0mEbb0RXzr2Dgy6kfrMnOASB%2FmoLJhzzd40Yf%2B2xbG%2F0KVB8HipDNY928diL5w0x9cSfcfchYWoAow%2FsKrX67fOEMqoc1WMHWPttxFjZS7KFnK0VkIg0yWtz4HuvHiHdY9No4EK4hWI6CjO2S3bjBGXf65chJaQbIx0T%2F%2FaWor73qRF1thBjsPR3GTN7zfDnyrVR5Gx7beaKA637Siklj6QvQYe1jBIeX0Uy%2BMb9jFQL2J9rfAGdtpUA9cIfBwPJOzTR0qE6vvoZFnSG6SQKz5XPtSLnhSCPEAP7gKu28zsUDBgGB3sSobv04UfuSYQv3IoWJaoCzA%2B1hTIlGyxhiKP%2F9tnqxwXzwW3L3KzozJuoK3B24rDrHWrqecS6pgmwHVjN6RwJGFzwlv8LTvbG5WCDycKGyHM5ksX6ExAE5Bq%2FWcyV3rvLxW7pC3uVpvPhOFAMB58QrvI0qqtODfEG41UO22KL0wwU6eaAGHakI9ayKf0sXB1tLIzVdOfYSwwprgdSgPWc%2Bzy3lcVvhPLJEgE4ysyXJtOslF5SOcDsGCBCI8ggDEi%2FEH33wIC5NJjISdkGtE7Gt4OrrwUo96iRLDTXC2xmNg1MvJXjgqwc%2Bc2JrSfF%2BCfG%2F50F2gXRItI83F%2B8QavrjXEwJF5nkk1ALbNWUVLnGN6PqZJX0YfPoXp9tSDdKw3fNul7oAP4vNsAadUvx3ynzc6b3yBH9d48PNKzB7S4rWfXVSv0wFny2HcuLHaeUcllKJ97g%2FaJFufDGRALWZ2Hy2AC3CuhSrjvyCw%2BWU%2FcDK7RtOcsmoID8YcXZ%2BC9AY44RNzXVubiq1JU8uY0pjKGruOSFKyr2JqLh3OeLT7LxH%2B%2FsuYjtNlI6qbF3H0tHyrDIUeWbiby3KPTHdxWxGJ%2FYnI%2F0Lp7Oscb5crqRZtKZawLy9%2FpuglFZLYYYpD%2BGWI%2F0jidBcKk8z0wiH6uHsqQ%3D%3D
    https://hpeprovisioning16.live/web/?sid=inimt10yjbvdgzejrejebqtt
    https://mobile-global-apps-store.life/?url=I4WHKFughjJjxf08DmdYBGKEwtnmwUsD
    https://mobile-global-apps-store.life/away.php

    Después de contratar un equipo, solicitar revisión del hosting, contratar los servicios de SiteLock pro, no encuentro esos links en el sitio en ningún lado.

    ¿Alguien por favor me puede ayudar?

    Muchas gracias

    • Este debate fue modificado hace 6 meses, 3 semanas por Jose Luis. Razón: Etiquetar código y mover al foro correspondiente

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • Moderador Jose Luis

    (@jose64)

    Hola.

    Yo lo único que veo es que tienes indexadas páginas que no deberían estarlo, si ya limpiaste la web no debería haber más enlaces, aparte de eso, recuerda que los enlaces pueden ser dinámicos, así que no necesariamente tenías los enlaces físicamente en tu servidor, podían estar referenciados desde cualquier otro sitio por el malware que te afectó.

    Hola. Tengo el mismo problema que @corporacionraya Pero en mi caso es:

    1) Unicamante en mis 7(siete) artículos. Por ejemplo;

    Este; https://atutrabajo.org/crecimiento-laboral-y-profesional-como-mejorarlo

    O este; https://atutrabajo.org/como-elaborar-perfil-profesional-adecuado

    O este otro; https://atutrabajo.org/como-responder-entrevista-laboral

    2) Unicamente en determinados países. Por ejemplo:

    – San Pablo, Brasil

    – Franckfurt, Alemania

    – Los Angeles, EEUU

    3) La «lista» de redirecciones/malware que me reclamó Google incluye, por ejemplo:

    https://6.adsco.re/

    https://bijtfnl2mgxu.l.adsco.re/

    https://elpaisactual.com/portada-2/

    Aunque, actualmente lo que hace mi sitio es que, cuando alguien ingresa desde esos países (y algunos otros), los deriva a este último enlace.

    Para hacer las pruebas, instalé un VPN virtual e ingreso «como si» mi ip fuera de esos países y, efectivamente, luego de 1 segundo (aprox.) en la parte de abajo (sobre la barra de tareas de mi pc), me van a apareciendo «cosas» como…

    …»Esperando a Google»… (que está bien)…

    …»Esperando a atutrabajo.org»… (Ok)…

    Hasta que, de repente, me aparece, a veces…

    …»Esperando a scontentxxx»…

    O a veces…

    …»Esperando a m.addthis»…

    E incluso, directamente me aparece el …»Esperando a elpaisactual»…

    Pero en todo los caso, inmediatamente, me deriva a …»https://elpaisactual.com/portada-2/«…

    Un sitio al que NUNCA accedí y que, por supuesto, NUNCA utilicé ni siquiera como fuente en ninguno de mis artículos pues, por si no lo mencioné YO Creé TODO el sitio desde 0

    Este comportamiento, a su vez, explicaría en gran parte la alta «tasa de rebote» y, el bajo ratio de «duración media de la sesión» que llegué a tener en un tiempo (algo que de a poquito estoy mejorando, je!)

    ¿Por qué? Simple. Porque, te puede gustar o no lo que yo escribo pero, NADIE puede LEER artículos de entre 2000 y 5000 palabras en ¡Menos de 1 segundo!

    Ergo. Sencillamente lo que ocurría era que entraban y, «algo» los redirigía a el»fucking» sitio antes mencionado.

    En principio, ya no me preocupa ni poder (o no) hacer campañas de Google Ads ni, mucho menos.

    Lo único que me interesa es:

    1) Encontrar la manera de resolver esto pues, independientemente de que consiga tráfico de la forma que sea (orgánica o de pago), muchos de mis visitantes «rebotan» de mi sitio, lo cuál «tira» aún más las métricas antes mencionadas.

    2) Una vez resuelto (y no antes) enviar a Google un pedido de revisión para que apruebe mis anuncios.

    3) Reiniciar mis campañas y/u otras formas de generar tráfico.

    Por último, debo comentarles que…

    Ya realicé TODAS las tareas que he visto por ahí para resolver esto. Es decir…

    A) Para encontrar el «fucking» bicho

    A.1) Le pasé los 2(dos) scanners que dispone mi hosting a nivel de servidor y NO encontraron NADA.

    A.2) En mi sitio, tengo instalado el plugin de Seguridad Wordfence, cuyos escaneos, tampoco encontraron nada.

    A.3) Al margen de A.2) desactivé Wordfence y activé y desactivé 7 (siete) plugins distintos de seguridad y, NINGUNO encontró nada.

    Lo mismo me pasó cuando realicé esta tarea con;

    – Sucuri SiteCkeck, quien dice que…
    …»El sitio no está en la lista negra»…
    Y/o que…
    …»Malware y seguridad del sitio web
    Ningún malware detectado por escaneo (riesgo bajo)
    No se detectó spam inyectado (riesgo bajo)
    No se detectaron alteraciones (riesgo bajo)
    No se detectaron errores internos del servidor (riesgo bajo)»…

    – Virus Total, quien dice que…
    …»No engines detected this URL»… en NINGUNO de los 79 motores que utiliza.

    B) Ya hablé con mi hosting. Y en ese sentido me pasó que, una vez, un asistente de ellos me confirmó que, efectivamente, cuando ingresó a mi artículo (el de como superar un entrevista), le pasó lo mismo (fué redireccionado).

    En cambio otro, me dijo que no.

    El 1ro. me dijo que era de …»países del Este»… Al otro no le pregunté.

    Pero a mí, lo que más me preocupa es tener este problema en, por ejemplo, Los Angeles, EEUU, que es cerca de la sede de Google. Ergo, cada vez que, realizo una tarea de limpieza y, solicito una nueva revisión, me la rechazan.

    C) Ya realicé TODAS las Tareas de Limpieza Recomendadas. Esto es…

    C.1) Cambié TODAS mis claves (base de datos, cPanel, Administrador, etc.)

    C.2) Reinstalé nuevamente mi plantilla

    C.3) Reinstalé la última versión de TODOS mis 41 plugin

    Por último, me puse a buscar dentro de mi sitio TODAS las palabras que leí por ahí que, podrían tener que ver con un virus. Por ejemplo: decode64 – eval – etc.

    Y lo mismo hice con todos los nombres de los virus que pude encontrar.

    Y lo hice tanto a nivel de base de datos (con la opción «Buscar») como a nivel de mi panel de administración (con el plugin String Locator).

    Y, cada vez que encontraba algún archivo relacionado, lo bajaba a mi pc, lo escaneaba con mi antivirus y NADA.

    Así que, como verán, Ya no sé que hacer.

    Por último, tal vez tengas razón en cuanto a que…

    …»no necesariamente tenías los enlaces físicamente en tu servidor, podían estar referenciados desde cualquier otro sitio por el malware que te afectó»…

    Pero el punto es que, aún hoy, cuando entran a mi sitio desde algunos paises, «rebotan» al sitio en cuestión. Ergo, como ya dije, me «arruinan» la performance del mismo.

    Por lo tanto, no puedo hacer NADA para conseguir tráfico pues, es hasta «contraproducente» dado que, como las métricas son un promedio, prefiero pocos visitantes de países (como el mío) que no son «afectados» que, muchos de otros que, cuando ingresen, van a «rebotar».

    De todas formas, no entiendo que significa eso de que…»podían estar referenciados desde cualquier otro sitio»… (en este caso elpaisactual.com) Eso ¿tiene solución?

    Aguardo tus comentarios.

    Gracias y, disculpá la «lata».

    Nos vemos.

    • Esta respuesta fue modificada hace 5 meses, 1 semana por Jose Luis. Razón: etiquetar urls
    Moderador Jose Luis

    (@jose64)

    El problema puede estar en cualquier archivo, por ejemplo un archivo .ico que realmente es php y se ejecuta puede hacer que se redirja a cualquier URL externa, por eso es que no encuentras las urls entre el código. Normalmente con seguir al pie de la letra la guía para Limpiar un WordPress infectado/hackeado se solucionan todos los problemas, aparte de eso, recuerda que si tienes varias instalaciones en el mismo hosting compartido la infección se puede propagar por todas.

    Hola José Luis. Suerte que me respondiste. Así, aprovecho para contarles…

    1) Cómo descubrí el ORIGEN de mi problema

    2) Cómo hice para SOLUCIONARLO

    Para que, además de ayudar a resolverlo, les cuente cuál es la gran «lección» que aprendí de esto (y que le pueda servir a otros).

    El asunto es más o menos así…

    1) EL ORIGEN:

    Hace un tiempo estuve buscando un «algo» (plugin, código, «lo que sea») que me permita mostrar la barra de cookies pero SOLO a visitantes europeos.

    Esto es por que a mí, particularmente me «molesta» dicha barra y, no quería que en mi sitio apareciera, a menos que fuera absolutamente «necesario» (léase obligatorio).

    Luego de muuucho buscar (literal), me encontré con un código que «prometía»…

    …»Aviso política de COOKIES que sólo se muestra en la Unión Europea«… y allá fuí, me lo copié y ¡pum! funcionó.

    Pero claro, justamente como yo, no soy de la CEE lo probé un par de veces (con ips virtuales de un par de países de dicha comunidad) y, como ví que funcionaba y que, fuera de ella no aparecía, me olvidé del asunto.

    Pero hete aquí que, después de un tiempo, me encontré con eso que te mencioné en cuanto a «tasa de rebote» y, «duración media de la sesión», me puse a investigar y encontré lo que mencioné cuando me «prendí» en este hilo.

    2) LA SOLUCIÓN:
    Como me dije, me volví «loco» (literal:) para encontrar la solución e, incluso, realicé como comenté anteriormente, TODAS las tareas/procedimientos/etc. que mencioné.

    Pero luego de escribirte, seguí leyendo otros comentarios de otros casos y, me encontré con uno que decía algo así como que…»según lo que pude ver en el inspector de elementos de mi Google Chrome»…

    Y entonces dije, que bol… por que no empecé por ahí???

    Asi que abrí mi sitio, botón derecho, inspeccionar y, me puse a mirar que hacía mi sitio hasta que, se «disparaba» hacia el otro sitio y… ¡tanaaan!

    Lo que disparaba era un código que decía acortar.org. Así que, me instalé el plugin String Locator y me puse a investigar TODO lo que tuviera esto y… ¡Exacto!

    Era parte del «fucking» código del hdrmp de pczeros, creador del código que «gentilmente» ofrecía para solucionar lo de la «barra de cookies solo para la CEE» que mencioné al principio.

    Es más…

    Fué tan «inteligente» que…

    A) El script en cuestión NUNCA menciona el «verdadero» sentido de la instrucción pues, dice así… <script src=»//acortar.org/cookie-min-js»></script>

    Pero, si a «eso» le agregas http, te lleva a un «redirect» al sitio del que hablé al principio (elpaisactual.com)

    Es decir que, por eso es que nunca podía encontrar el enlace «verdadero» a elpais pues, está «metido» dentro de dicho enlace.

    B) Tampoco es un virus pues, en realidad es una «simple» instrucción para windows. Por eso es que, NUNCA lo detectaban los 7(siete) antivirus (literal) por los que pasé TODO mi sitio (incluyendo mucho de sus archivos críticos uno x uno).

    C) Aún cuando borraba el script, volvía a aparecer pues, la otra parte del código dice así…»<link rel=»stylesheet» type=»text/css» href=»//cdnjs.cloudflare.com/ajax/libs/cookieconsent2/3.0.3/cookieconsent.min.css» />

    OJO: Si vas a «chusmear» esta parte, sugiero que lo hagas con cuidado pues, ahí está la «madre del borrego».

    Es decir que, borraba el script y, al rato, me volvía a aparecer pues, esta instrucción me la volvía a traer de vuelta.

    Conclusión: Borré TODO el código original más TODAS las caches que hacían mención a CUALQUIER parte del mismo y ¡tanaaan!

    Dos «curiosidades» de este código:
    1) En el mismo figura su «autor» (pczeros.com) e incluso un enlace a su sitio pero, de algún modo dicho enlace «desaparece» (por eso tampoco pude localizarlo con String Locator)

    2) También desaparece el contenedor donde lo metí (un widget para html personalizado)

    En fin. Y con esto termino…

    La gran lección que aprendí es que, en Internet, NADA es 100% grátis y que, de algún modo este HDRP está lucrando con nosotros pues, no creo que, por el redirect siempre al mismo sitio, el no obtenga nada.

    Por último y, por si crees/quieres/puedes hacer algo con este «cretino», aquí te dejo el enlace al sitio/artículo/código en cuestión, y que prueba lo que estoy diciendo…

    Aviso política de COOKIES que sólo se muestra en la Unión Europea | pczeros.net | http://www.pczeros.net/2018/05/aviso-cookies-solo-union-europea.html

    De hecho, es tan «caradura» que, todavía lo tiene como si nada.

    Y te lo comento porque, andá a saber cuantos (como yo) cayeron en la «trampa» y sí, además, tiene otros códigos como este y/o con la misma «finalidad».

    Espero haber sido útil.

    Nos vemos!

    PD: En el mientras tanto, me quedé sin «nada» que reemplace lo que este código vino a «solucionarme» Es decir que, la barra de cookies aparezca solo para la CEE.
    Y hasta ahora, no encontré nada que me ayude a resolverlo.
    Por casualidad ¿conoces algo que lo haga?

Viendo 4 respuestas - de la 1 a la 4 (de un total de 4)
  • Debes estar registrado para responder a este debate.