Malware ontdekt: hoe verder – tips voor de ‘rest of us’
Google ontdekte een stukje malware op deze site. Je krijgt een e-mail met een link die mij naar een niet bestaande pagina binnen Google leidde. Vervolgens komt een afschrikwekkend rood scherm tevoorschijn als je als bezoeker deze site wilt bezoeken met de melding dat het bezoekje wel eens schadelijk zou kunnen zijn voor de computer.
Niet leuk en dus snel op zoek naar een oplossing. Dat valt niet mee. Mijn ervaringen wil ik hier graag delen, zodat wanneer het ook jou eens overkomt, hier een ‘roadmapje’ staat met wat instructies. Want de gevolgen zijn niet fijn, zie hier rechts de enorme daling van 200 unieke bezoekers op 11 oktober gereduceerd worden tot enkele tientallen op 14 oktober.
– bellen met Google hoef je niet te doen, je krijgt een aardige dame aan de lijn, die overigens gewoon Nederlands praat, maar zegt vanuit haar kantoor helemaal niets te doen aan support. Ook een niet bestaande URL in en net verkregen e-mail van het grote Google kan zij niet verklaren.
– dus zelf op zoek. Twitter vriendjes helpen dan al gauw een handje mee.
– je moet je site opnieuw laten beoordelen door Google. OK, prima, maar waar doe je dat en wat geef je op als redenen, waarom je dat zou willen. Je moet immers accoord gaan met de volgende drie uitspraken die op het verzoekformulier staan:
Verklaring voor heroverweging
Door dit verzoek te verzenden verklaar ik dat:
* Ik heb de kwaliteitsrichtlijnen van Google gelezen en begrepen.
* Deze site schendt momenteel de kwaliteitsrichtlijnen van Google niet.
* Ik zal me voortaan aan de kwaliteitsrichtlijnen van Google houden.
– je begint je al gauw heel erg schuldig te voelen als je dit leest, terwijl je nog niet weet wat er aan de hand is. Het blijkt overigens dat je eerst zelf moet bewijzen dat het domein wel van jou is. Daar zijn verschillende manieren voor. De makkelijkste is te kiezen voor het uploaden van een klein HTML bestandje in de root van de site, zodat Google kan nagaan dat je de juiste toegangsrechten hebt. Het bestandje heb ik daar nu maar gewoon laten staan. Geen idee wanneer dat weer weg kan.
– dan heeft Google dus door dat de site van jou is en dan kan je het verzoek indienen tot heroverweging.
– maar voordat ik dat doe, wil ik wel weten wat er aan de hand is. Na wat heen en weer zoeken in de ‘Google webmasterhulpprogramma’s‘ kwam ik het volgende stukje code tegen:
Ik ontdekte dat de code afkomstig was uit OpenX, het binnen mijn site draaiende advertentie management systeem. Inderdaad bleek de code niet te kloppen met de reguliere code die vanuit OpenX werd aangemaakt om advertenties te hosten. Ik ben niet zover gegaan om te bekijken welke schade deze code zou kunnen aanbrengen, maar de totaal onbekende URL’s en het woord ‘cookie’ voorspelden mij niet veel goeds. Dus Google had gelijk, maar welke schade het stukje code zou kunnen aanbrengen bleef onbekend. Iemand die iets herkent? Laat het me weten…..
– dus in de browsers de cookies maar even deleten zou zeker geen kwaad kunnen.
– vervolgens ook de gewraakte OpenX code verwijderen en vervangen door de juiste code. Dat zou het dan moeten zijn. Ik het heroverwegingsformulier alles netjes ingevuld en met bijna enorm gevoel van schaamte vraag je of ze er niet weken over gaan doen, zoals bovenin het formulier staat: ‘Het opnieuw evalueren kan enkele weken duren. Helaas kunnen wij aanvragen voor heroverweging niet individueel beantwoorden.’
– tja, dus alles gedaan en nu dus overgeleverd aan Google, zelfs in de zoekmachine word ik als kwaadwillend afgeschilderd. En niet alleen daar, ook mijn twitter telletje geeft een bood vraagteken, me doorverwijzend naar de tekst: ‘This TweetMeme button is pointing at a website that we have blacklisted.’
Kennelijk hebben bepaalde mensen lol in het aanbrengen van dit soort stukjes code. Als Apple gebruiker ben ik al helemaal niet gewend aan dit soort dingen. Dus elk advies op dit gebied om het te kunnen voorkomen is welkom. Het heeft me gisteren en vandaag vele uren gekost. Doe er je voordeel mee.
Meer algemene informatie.
Uodate: gelukkig heeft Google snel gereageerd en de malware melding afgelopen nacht verwijderd.
Het ligt dus allemaal aan het hosten van OpenX, ik heb inmiddels alles nu extern gehost, waardoor OpenX geheel verwijderd is vanaf de site. Als Google nu vriendelijk is, dan zullen de problemen snel tot het verleden behoren.