Malware individuato da Google Ads su un sito

alessandro_dandrea

Malware individuato da Google Ads su un sito

Ciao a tutti,

Premessa necessaria: non seguo la campagna in questione. Mi è stato chiesto un parere sulla situazione ma non sono informato nemmeno io, e quindi chiedo al forum . Non posso fornire il sito.

Come da titolo, mi è stato posto il caso di una campagna che Google Ads identifica come problematica perché rileva malware in pagina.
Ora, esiste un modo per capire cosa faccia attivare il bot, e quindi la segnalazione di malware, se chiaramente il sito non ha in alcun modo problemi di questo tipo?

Io al momento avevo pensato a:

• Verificare GSC (che ha una sezione sicurezza)
• Fare una scansione con Web.Dev, per vedere se viene trovata qualche vulnerabilità
• Sentire Google, e sperare di trovare qualcuno di capace.

Altre idee o esperienze di risoluzione? Metto in palio una birra al prossimo WMF che si terrà (2021 immagino) . Grazie!!

juanin

@aledandrea è un sito con Adv dentro?

Hai provato se il trigger salta fuori solo con user-agent Googlebot?

sermatica

@aledandrea ha detto in Malware individuato da Google Ads su un sito:

Altre idee o esperienze di risoluzione? Metto in p

Ciao prova anche questo https://sitecheck.sucuri.net/, se non segnala nulla in fondo trovi l'opzione per fare il Re-scan.

kal

Come ha detto @juanin, ma in più un controllino lo farei anche anche con l'user agent di AdsBot-Google-Mobile e AdsBot-Google.

Altra cosa stupida ma sorprendentemente efficace: fai una query [site:nomesito.com viagra] (o altri termini "sensibili" solitamente usati da chi infogna i siti) e vedi se salta fuori qualcosa.

marcoilardi

io ho avuto un problema simile ed ho risolto con la versione free di wordfence nelle mie installazioni wordpress cambiando le password ftp ed abilitata l'autenticazione a due fattori sempre di wordfence. La funzione scan ti dice precisamente quali sono i file che contengono malware alcuni li cancella automaticamente altri puoi cancellarli a mano.

alessandro_dandrea

Ciao Andrea, grazie!!
Allora, no, niente adv, e facendo un test cambiando lo User-Agent da Dev Tools il sito si vede regolarmente.

Bot testati:

• AdsBot-Google (+http://www.google.com/adsbot.html)
• Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
• Mozilla/5.0 (iPhone; CPU iPhone OS 9_1 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13B143 Safari/601.1 (compatible; AdsBot-Google-Mobile; +http://www.google.com/mobile/adsbot.html)
• Mozilla/5.0 (Linux; Android 5.0; SM-G920A) AppleWebKit (KHTML, like Gecko) Chrome Mobile Safari (compatible; AdsBot-Google-Mobile; +http://www.google.com/mobile/adsbot.html)
• Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.522.63 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

@juanin

alessandro_dandrea

Ciao @sermatica, grazie!
Hai sollevato un punto importante (e che forse può essere di svolta).
Il test con Sucuri lo avevo provato pure io, ma il tool mi risponde che il sito va in timeout.
Ieri sera non avevo pensato di riportarlo, mea culpa.

Può indicare qualcosa secondo te?

alessandro_dandrea

Ciao Martino @kal, ok grazie! Niente, a SERP pare tutto pulito, e come dicevo con @juanin prima, ho testato a campione qualche bot. Al momento stanno funzionando tutti.

alessandro_dandrea

Ciao @micropedia, grazie!
Provo a suggerire l'installazione di Wordfence!
Vediamo se può aiutare a risolere l'enigma!

sermatica

@aledandrea ha detto in Malware individuato da Google Ads su un sito:

Ciao @sermatica, grazie!

Ciao
potrebbe anche essere che il firewall del server ne impedisca la scansione.

juanin

@aledandrea leggendo i vari post sembra tu usi WP. Verifica che non ti abbiano iniettato roba a db.

kal

Se è WordPress... Fai questo test:

1. Apri un browser sul cellulare
2. Avvia una sessione in incognito
3. Fai una ricerca su Google per trovare il sito
4. Clicca da Google e vedi che succede

C'è un malware che colpisce un sacco di siti in WordPress che è basato sul referrer. Googlebot vede il sito normale, ma poi l'utente che clicca dalle SERP viene rediretto ad una pagina scam.

Se è questo, è una gran rottura: ti infogna di backdoor le cartelle.

Io ne ho avuto uno come questo sul mio sito ed ho penato un po' a ripulire.

alessandro_dandrea

Ciao @kal @juanin, alla fine i dev hanno trovato una libreria maligna che, in effetti, doveva essere rimossa.
Comunque sì, era un WordPress.
Stiamo aspettando per vedere se GAds fa ripartire tutto. Sperem.
Grazie mille per l'aiuto!!