google 検索結果でのハッキングされている可能性の表示

1161208 23:32:14
google 検索結果でのハッキングされている可能性の表示

1161208 23:32:25
Personal Block Listの確認時に発見した少し変わった動作です。

welqなどの検索結果の状況などを確認するので、地元の観光で検索

Googleの検索結果で
「このサイトは第三者によってハッキングされている可能性があります。」
と表示される。

googel site: domain-comで確認
表示されるのは top page のみ。

アタックの動作はよくある、強制的に外jumpで、そのサイトでアプリをインストール
(またはPCの場合はブラウザーの拡張機能のインストール)

今は、Chromeの拡張機能の問題などいろいろ危ない動作の可能性があるので、個別の動作は確認していません。
サイトはレスポンシブではなく、mobileは site-domain-com/mobile/ に302で飛びます。

ここまではよくある形。

テストでアクセス(準備してないので安全な範囲で)

各端末での動作

●iPhone 7 Safari
Google searchには「このサイトは第三者によって..」は表示されない
site-domain-com/mobile/
ブラウザーのPC modeで見るでも同じ結果

●Android 6.x Chrome
Google searchには「このサイトは第三者によって..」は表示されない
site-domain-com/mobile/
ブラウザーのPC modeで見るでも同じ結果

●PC Win7など
なにがあるかわからないので、まだ確認していません。
切り分け環境準備したら、data dumpなども含めて確認しますが、
強制jump だと思われます。

●Kindle silk
強制的にjumpでアプリストアが立ち上がった。

このサイトは zone-hには載っていませんでした。
Mass defacementでのtop page改竄だと、だいたいパターンはわかるのですが
Mass defacementかどうかはわかりません。

Mass defacement = 1つのipで複数=最大500から1000くらいのdomainを埋め込む安価な共有サーバー。そこの一部にアタックされると、すべてのdomaiのtop pageが一瞬で書き換えられる。

最近のzone-hでの傾向をみると、top pageではなく、top folderの別のfileを入れ込んで、そのpage viewをアタックの証明とするパターンがあるので、top以外も変わっている可能性はあります。google searchはlinkがないと収集しないので(検出もしない)

当方管理サイトではないので、PC/Mobileの切り分け方法はわかりませんが、User Agentをtop page 切り分けか、外のserver confでの切り分けです。
多分そこで、user agent =kindleのbrowserが未設定で、PCに振り分けられている状態だと思われます。

Google search のsercurity checkはキャッシュしたhtml内のパターンチェック(あたり前ですが)。302の後のpageしかチェックしない(top pageを書き換えられていても)

サイト管理者/サバ管/データセンターなら書き換えはすぐ検知するでしょうが、mobileアクセスのみだと見た目はまったくわからないので一応注意。特にアタックを説明する時にめんどくさい。

可能性は少ないですが、PCだけをターゲットにして、発見を遅らせるパターンか? Chromeの拡張機能を狙ったものか? (その割にはkindleではアプリインストに行きましたが..)

「このサイトは第三者によってハッキングされている可能性があります」というメッセージ - ウェブ検索ヘルプ
https://support.google.com/websearch/answer/190597