Perché un utente malintenzionato dovrebbe eseguire l'autenticazione sulla mia Search Console di Google?

3

Qualcuno ha caricato (non so come, ma penso tramite il mio Wordpress che è stato superato per un solo giorno ...) un'autenticazione di Google Search Console sul mio server. L'ho appena realizzato perché Google Search Console mi ha inviato una mail relativa a una nuova autenticazione per un account di posta elettronica generato da script (molti numeri e caratteri come nome utente).

Quale potrebbe essere il potenziale scopo di un simile tentativo? Non riesco a immaginare nulla oltre alle attività di spam o qualcosa del genere.

Nota: non sono molto abile nella sicurezza IT in generale, oltre al buon senso e a ciò che ho imparato nei miei anni di sviluppo del software.

    
posta Jankapunkt 10.07.2017 - 12:03
fonte

1 risposta

1

Se sono stati in grado di autenticarsi su Google Search Console, significa che avevano, almeno per un certo periodo, il controllo del tuo sito web.

Se l'hacker fosse stato utile, avrebbe immediatamente configurato un accesso alternativo per tornare nel tuo sito (forse una sorta di backdoor, preferibilmente non facilmente rilevabile).

Ho visto almeno una volta un'istanza in cui gli hacker hanno preso il controllo di un sito web, hanno pubblicato annunci di viagra, caricato codice di click-fraud e persino malware ospitato da un po 'di tempo sul sito. Per quel periodo, hanno usato tecniche di blackhat SEO per promuovere il sito (in particolare i collegamenti che volevano) - che è stato il modo in cui il dentista (la vittima) ha scoperto l'hack in primo luogo. Un amico gli ha chiesto perché il suo sito è nei risultati di ricerca per le cose più strane.

Ma quasi tutti sanno che Google informerà il proprietario del sito quando viene aggiunta una nuova email alla gestione del sito, quindi nel tuo caso non ha senso, ma si spera che la mia risposta ti doni qualcosa da iniziare.

PS: dovresti cercare cos'altro avrebbe potuto fare l'hacker mentre era in controllo - soprattutto i modi alternativi in cui possono tornare indietro. Se hai un modo di registrare eventi in remoto, è una cosa grandiosa fare, anche se è un po 'tardi ora. Verrai a sapere cosa sta facendo l'hacker sul tuo sito se / quando restituiscono.

PPS: il mio prodotto ActiFend è stato creato per uno scopo diverso, ma può eseguire il logging remoto + abbiamo cruscotti di analisi della sicurezza internamente; quindi se non sei in grado di fare progressi, fammi sapere (tramite l'app o semplicemente scrivi a support at actifend dot come) e vedremo che possiamo usare le nostre costolette per trovare qualsiasi ago sfuggente per te. Questo è solo per mia curiosità, quindi non è necessario alcun acquisto. :)

    
risposta data 10.07.2017 - 12:24
fonte

Leggi altre domande sui tag