Nuevo propietario desconocido en Search console

Recibes un email de Google informándote que un nuevo propietario se han registrado para tu sitio web en Search console.

Google ha detectado que se ha añadido a cualquiera@gmail.com como propietario de https://www.tuweb.com/

Si te has dado cuenta de la situación a tiempo, tu primera intención es quitar la propiedad a ese desconocido, pero de que modo se ha verificado?

Lo más probable es que el método que ha usado haya sido el archivo html, puedes comprobarlo en la configuración de la propiedad en Search console.


El caso parece ser sencillo, antes que nada, cambias las contraseñas de acceso a tu servidor y las de tu CMS, luego accedes por FTP al directorio raíz, quitas ese archivo y problema solucionado.
Pero sucede que no lo encuentras, y si embargo lo ves desde el navegador con la URL de tu web:

¿Que está pasando?

El archivo que ves desde el navegador no es real, se está generando dinámicamente a partir de una directiva desde el archivo .htaccess, por ejemplo:

RewriteRule ^([0-9]+)/google(.*)\.html$ wp-content/loquesea.php?google=$2 [L]

La ruta y el nombre del archivo son un ejemplo, pero la propia directiva te está indicando donde está el origen de la intrusión.
El procedimiento entonces, consiste en quitar loquesea.php de la ruta indicada, borrar la línea de .htaccess y Anular la verificación.

¿Qué gana el intruso registrando la propiedad?

Muy simple, tienes una inyección de código malicioso en progreso, y si no has recibido o has ignorado ese mensaje, el atacante te quita la propiedad y no te enteras de ninguna otra notificación posterior de seguridad o acción manual de Seach console.

Este tipo de incidentes sucede generalmente en dominios de nivel superior (.com, .net, etc),  ya que al tener control pueden cambiar la segmentación internacional a otros países donde hacer spam, incluso puede añadir nuevos sitemap para facilitar la indexación de nuevas páginas piratas dentro de tu propio sitio (Ver Japanese Keyword Spam)

Como prevenir que alguien te quite la propiedad

Ya sabes que Google te ofrece varios métodos para verificar la propiedad de tu web en search console, en este caso los mas usuales son:

  • Subir archivo HTML
  • Proveedor de nombres de dominio
  • Etiqueta html
  • Código de seguimiento de Google Analytics

No voy a detallar de que se trata cada uno, lo tienes bien claro en la Guía de Ayuda de Search Console, pero es recomendable que utilices los 4 simultáneamente. Ningún hacker perderá tiempo en desactivar todos y te será mas fácil quitarlo a él del medio.

Pero esto recién empieza, ahora viene lo más difícil; investigar cuáles son las intenciones del intruso y qué consecuencias traerá para tu sitio, pero ese tema para la próxima nota donde te explico las opciones para quitar el malware.

Compartir

10 comentarios en “Nuevo propietario desconocido en Search console”

  1. como estas yo tengo 5 web , utilizo word press , y algo parecido , en una no pude ingresar mas me la hakearon y me pidieron rescate . La hice devuelta , y en otra me empezaron a llegar muchos correos rusos . eso lo soluciones con el capcha de google . Pero ahora me doy cuenta en search console se me esta posicionando contenido en japones ( palabras clave ) . la pagina por ahora sigue normal …. debo tomar algun recaudo para que no avance o ya esta infectada ? desde ya muchas gracias .

    1. Hola
      Efectivamente, tu web busco-alfombras está infectada con el malware japanese keyword spam.
      Si buscas con el operador site: podras ver las páginas afectadas, y ademas veras que otras páginas son http:
      Ademas del procedimiento habitual de restaurar una copia sana de tu web, debes añadir una redireccion 301 para dirigir todo el trafico a la versión segura (https:) de tu sitio.

      Salu2

      1. Espero entonces encontrar una copia sana . Desde ya muchas Gracias por tu respuesta . Sino por lo que escribiste conviene reconstruirla para que quede totalmente limpia . Tengo un backup de los textos . SE pierde el posicionamiento si lo conservo las urls posicionadas ?

  2. Hola Carlos, hace un par de día recibí dos correos, uno indicando que comenzara a usar Google Search y otro posterior indicando un nuevo propietario. Yo no tengo idea de qué va esto, mi experiencia y conocimientos del tema son nulos, de hecho no administro ninguna página WEB ni nada por el estilo, vamos, que no sé cómo ni crear alguna. Según consulta que hice en Google me llegó una respuesta (a tu nombre), que indicaba debería averiguar el método utilizado para crear la propiedad y fue HTML, pero, a qué servidor accedo para eliminarla si en teoría no lo tengo. Discúlpame mi desconocimiento en el tema, pero supongo que algo debo hacer para garantizar mi seguridad ante un ataque informático.
    Gracias y saludos.

      1. Hola Carlos,
        También llegué a tu página por el Search Console. Como Juan, tampoco tengo/administro sitios, pero uso yahoo mail, y desde hace un tiempo me va cambiando el idioma (español) del correo, a inglés (no me molesta porque lo hablo) pero ahora me aparece todo en ideogramas… chino, japonés o lo que fuere, no me interesa… No recibí ningún aviso de Google asi que no creo que el Search Console tenga algo que ver con esto (lo intenté) como yahoo NO es mi dominio n propiedad, no funciona la solución que ofrece.
        Espero tus comentarios
        Silvia

  3. Hola Carlos,
    Gracias de antemano.
    Yo acabo de recibir ese correo, el email que me indica como nuevo propietario corresponde a un antiguo gestor de contenidos con el cual ya no trabajo hace más de un año. El problema es que en en el listado de usuarios verificados no aparece ese correo, solo aparecen 2 y ambos son correos míos.

    1. Hola David

      Es probable que tu antiguo gestor de contenidos, haya verificado otra propiedad.
      Intenta verificar por Proveedor de nombres de dominio (incluye todas las opciones), o bien verifica todas las opciones posibles (con y sin www, con http y con https).
      En una de ellas debe aparecer.

      Salu2

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *