ciao Flavianof,
Alcune osservazioni:
il rimando a Shinystat serve forse a camuffare lo script malevolo
il malware, come immaginavo, agisce come per il pharma hack e si avvale di cloaking, ossia al motore mostra una cosa diversa da quella mostrata all'utente: **if(preg_match('/google|bing|yahoo/i',@$_SERVER["HTTP_REFERER"])){ ... }
**> il codice sopra riportato quindi serve a mostrare contenuti ai motori che servono all'hacker per spingere il suo sito nelle SERPs. Lui avrebbe potuto chiaramente creare un blog da zero ma questo avrebbe avuto probabilmente meno autorità del tuo, esistente probabilmente da vari anni
Riguardo dalla rimozione delle pagine "sporche" dalla SERP devi stare molto attento. Sarebbe rischioso rimuvoere gli URLs tramite GWT perché questi sono in sostanza l'home page che però varia grazie alla query "?mbt-sandali=ecc".
Quello che devi fare è invece dire a Google, la prossima volta che crawlerà una pagina del tipo "?mbt-sandali=ecc" che questa pagina è not found (codice 404).
Per fare questo puoi usare il codice che ho riportato anche nell'articolo che ti dicevo prima e che per comodità di riporto di seguito:
// inserisci qui gli url infettati senza dominio ma con slash iniziale e finale $URL_INFETTI =array( '/', '/url-infetto-1/', '/url-infetto-2/', // ecc... ); // ritorno 404 quando l'utente / googlebot chiede questa pagina aggiungendo un parametro $URI = explode( '?', $_SERVER["REQUEST_URI"] ); $URI = $URI[0]; if( in_array( $URI, $URL_INFETTI ) and $_SERVER['QUERY_STRING']!='' ) { header('HTTP/1.0 404 Not Found'); echo "<h1>404 Not Found</h1>"; echo "The page that you have requested could not be found."; exit(); }Fatto questo puoi velocizzare la scansione di Google sul tuo sito inviando una sitemap.
Per verificare l'effettivo funzionamento della cura, googla "site:[TUO SITO CON DAVANTI HTTP]" e controlla che con il passare del tempo il numero dei risultati sia ridotto alle pagine reali del tuo sito e che la serp sia sgombra da URL malevoli.
Facci sapere!