Ten przewodnik został stworzony z myślą o atakach polegających na dodawaniu do witryny wielu słów kluczowych stron z bezużytecznym tekstem, które określamy mianem zamaskowanych słów kluczowych, hakerskie linki. Została stworzona z myślą o użytkownikach popularne systemy zarządzania treścią (CMS), , ale ten przewodnik może Ci się przydać, nawet jeśli nie korzystasz z systemu CMS.
Chcemy mieć pewność, że ten przewodnik będzie naprawdę przydatny. Prześlij opinię aby pomóc nam ją ulepszyć.
Zidentyfikuj ten typ ataku
Atak z wykorzystaniem maskowanych słów kluczowych i linków automatycznie tworzy wiele stron zawierających bezsensownego tekstu, linków i obrazów. Takie strony czasami zawierają pochodzących z oryginalnej witryny, więc na pierwszy rzut oka strony mogą wyglądają jak zwykłe części witryny, dopóki nie przeczytasz ich treści.
Zhakowane strony służą do manipulowania czynnikami Google wpływającymi na pozycję w rankingu. ataki hakerów. często próbują na niej zarabiać, sprzedając linki na zaatakowanych stronach innych firm. Zhakowane strony często przekierowują też użytkowników do strony, na której hakerzy mogą zarabiać.
Zacznij od sprawdzenia
Problemy dotyczące bezpieczeństwa
za pomocą narzędzia Search Console, by sprawdzić, czy Google znajduje zaatakowane strony
w Twojej witrynie. Czasem takie strony można też wykryć, otwierając Google
Wyszukaj w oknie i wpisz site:_your site url_
, a adres URL poziomu głównego to
w Twojej witrynie. Wyświetlą się strony zindeksowane przez Google w Twojej witrynie
łącznie z zaatakowanymi przez hakerów stronami. Przejrzyj kilka stron wyników wyszukiwania, aby znaleźć
sprawdź, czy nie występują jakieś nietypowe adresy URL. Jeśli nie widzisz w Google żadnych zhakowanych treści
Wyszukiwarka, użyj tych samych haseł w innej wyszukiwarce. Oto
jak to wygląda:
Zazwyczaj, gdy klikniesz link do strony zaatakowanej przez hakerów, przekierowuje użytkownika do innej witryny lub wyświetla stronę pełną bezsensownych treści. Pamiętaj jednak: możesz również zobaczyć komunikat sugerujący, że strona nie istnieje (w przypadku np. błąd 404). Nie daj się oszukać. Hakerzy spróbują Cię nakłonić że strona zniknęła lub została naprawiona, mimo że została zaatakowana przez hakerów. Robią to przez maskowanie treści. Aby sprawdzić, czy witryna nie ma maskowania, wpisz adresy URL witryny w sekcji Narzędzie do sprawdzania adresów URL. Narzędzie Pobierz jako Google pozwala zobaczyć ukryte treści.
Jeśli napotkasz te problemy, najprawdopodobniej przyczyną problemów z witryną jest zaatakować witrynę.
Usuń problem
Zanim zaczniesz, zrób kopię offline plików, zanim je usuniesz. może być konieczne ich przywrócenie. Jeszcze lepiej jest utworzyć kopię zapasową całej witryny przed gdy rozpoczniesz proces czyszczenia. Możesz to zrobić, zapisując wszystkie pliki, które na serwerze do lokalizacji poza serwerem lub w poszukiwaniu najlepszej kopii zapasowej opcje odpowiednie dla Twojego systemu zarządzania treścią (CMS). Jeśli używasz tagu CMS, utwórz też kopię zapasową bazy danych.
Sprawdź plik .htaccess
(3 kroki)
W hakowaniu zamaskowanych słów kluczowych i linków Twój plik .htaccess
automatycznie
tworzenia zamaskowanych stron. Poznanie
.htaccess
– podstawy
na oficjalnej stronie Apache pomogą Ci zrozumieć, jak doszło do ataku
ma wpływ na Twoją witrynę, ale nie jest wymagane.
Krok 1
Zlokalizuj plik .htaccess
w swojej witrynie. Jeśli nie wiesz, gdzie go znaleźć
i używasz systemu CMS takiego jak WordPress, Joomla lub Drupal, wyszukaj hasło
„Lokalizacja pliku .json” w wyszukiwarce wraz z nazwą systemu CMS.
W zależności od witryny możesz zobaczyć kilka plików .htaccess
.
Utwórz listę wszystkich lokalizacji plików .htaccess
.
Krok 2
Otwórz plik .htaccess
, aby wyświetlić jego zawartość. Poszukaj wiersza
który wygląda mniej więcej tak:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
Zmienne w tym wierszu mogą być inne. Zarówno cj2fa
, jak i tobeornottobe
mogą
może być dowolną mieszanką liter lub słów. Ważne jest zidentyfikowanie .php
do których odwołuje się ten wiersz.
Zapisz plik .php
wymieniony w pliku .htaccess
. W tym przykładzie
plik .php
ma nazwę injected_file.php
, ale w rzeczywistości
być tak oczywiste. To zwykle losowy zestaw nieszkodliwych słów,
horsekeys.php
lub potatolake.php
. To prawdopodobnie jest szkodliwy plik .php
który trzeba będzie namierzyć i usunąć później.
Krok 3
Zastąp wszystkie pliki (.htaccess
) czystą lub domyślną wersją pakietu .htaccess
. Domyślną wersję pliku .htaccess
można zwykle znaleźć, wyszukując je
dla „domyślnego pliku .htaccess
” i nazwę systemu CMS. Witryny z wieloma
.htaccess
, znajdź czystą wersję każdego z nich i zastąp go nowym.
Jeśli nie istnieje domyślny element .htaccess
i nigdy nie skonfigurowano pliku .htaccess
w Twojej witrynie, znaleziony w niej plik .htaccess
jest prawdopodobnie szkodliwy.
Zapisz kopię .htaccess
plików offline na wszelki wypadek, a to
z Twojej witryny.
Znajdź i usuń inne złośliwe pliki (5 kroków)
Rozpoznawanie złośliwych plików może być trudne i czasochłonne. Nie spiesz się podczas sprawdzania plików. To dobry moment, by utworzyć kopię zapasową pliki w witrynie. Wyszukaj w Google „kopia zapasowa witryny” oraz nazwa CMS, gdzie znajdziesz instrukcje tworzenia kopii zapasowej witryny.
Krok 1
Jeśli używasz systemu CMS, ponownie zainstaluj wszystkie podstawowe (domyślne) pliki zawarte w domyślnej dystrybucji Twojego systemu CMS oraz wszystkich dodanych przez Ciebie elementów (np. jako motywy, moduły czy wtyczki). Dzięki temu będziesz mieć pewność, że pliki te nie zawierają zaatakowaną przez hakerów. Można wyszukać w Google hasło „reinstalacja” i nazwę systemu CMS, znaleźć instrukcje dotyczące ponownej instalacji. Jeśli masz jakieś wtyczki, moduły, rozszerzenia lub motywy, pamiętaj, aby je również zainstalować.
Krok 2
Zacznij od wyszukania pliku .php
zidentyfikowanego w pliku .htaccess
pliku. W zależności od sposobu uzyskiwania dostępu do plików na serwerze
powinien mieć jakąś funkcję wyszukiwania. Wyszukaj złośliwe oprogramowanie
nazwa pliku. Jeśli go znajdziesz, najpierw utwórz kopię zapasową i zapisz ją w innym miejscu
w razie potrzeby ją przywrócić, a potem usunąć z witryny.
Krok 3
Poszukaj pozostałych złośliwych lub przejętych plików. Prawdopodobnie masz już w poprzednich 2 krokach nie udało Ci się usunąć wszystkich złośliwych plików, ale lepiej wykonaj te czynności na wypadek, gdyby na Twoim urządzeniu było więcej przejętych plików witrynie.
Nie daj się przytłoczyć faktem, że trzeba otworzyć i przejrzeć wszystkie pliku PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz zgłosić i zbadania sprawy. Oto kilka sposobów sprawdzenia, które pliki PHP mogą być podejrzane:
- Jeśli pliki systemu CMS zostały załadowane ponownie, sprawdź tylko te pliki, które nie są częścią domyślnych plików i folderów systemu CMS. To powinno wykluczyć wiele plików PHP i zostawię jeszcze kilka plików do przejrzenia.
- Posortuj pliki w witrynie według daty ostatniej modyfikacji. Szukaj Zmodyfikowane w ciągu kilku miesięcy od pierwszego że witryna została zaatakowana przez hakerów.
- Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
Krok 4
Gdy sporządzisz listę podejrzanych plików PHP, sprawdź, czy nie są złośliwe. Jeśli nie znasz się za bardzo na PHP, może to być czasochłonne, rozważ odświeżenie dokumentacji języka PHP. Jeśli nie masz doświadczenia w programowaniu, jak uzyskać pomoc. Tymczasem możesz skorzystać z naszych podstawowych wzorców, których można szukać w poszukiwaniu szkodliwych plików.
Jeśli używasz systemu CMS i nie masz zwyczaju bezpośredniego edytowania tych plików, porównaj pliki na serwerze z listą domyślnych plików spakowanych z systemu CMS oraz z wtyczkami i motywami. Wyszukaj pliki, które do nich nie należą, które są większe niż ich wersja domyślna.
Najpierw przejrzyj podejrzane pliki, które zostały już wykryte
dużych bloków tekstu z pozornie przemieszanymi literami,
liczby. Duży blok tekstu jest zwykle poprzedzony przez kombinację języka PHP
takie jak base64_decode
, rot13
, eval
, strrev
lub gzinflate
.
Oto przykład, jak może wyglądać taki blok kodu. Czasami wszystko to
kod zostanie wciśnięty do jednego długiego wiersza tekstu, dzięki czemu będzie wydawał się mniejszy
że tak naprawdę jest.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Czasami kod nie jest pomieszany i wygląda jak zwykły skrypt. Jeśli nie mam pewności, czy kod jest nieprawidłowy. Fora pomocy dla webmasterów na którym doświadczeni webmasterzy mogą pomóc Ci przejrzeć pliki.
Krok 5
Gdy już wiesz, które pliki są podejrzane, utwórz kopię zapasową lub lokalną kopię zapasową przez i zapisać je na komputerze, na wypadek gdyby któreś nie były złośliwe, i usuń podejrzane pliki z witryny.
Sprawdzanie, czy witryna jest czysta
Gdy zdołasz się pozbyć zhakowanych plików, sprawdź, czy Twoja ciężka praca opłacono. Pamiętasz znalezione wcześniej strony z bezużytecznym tekstem? Korzystanie z narzędzia do pobierania jako narzędzia Google, aby sprawdzić, czy nadal istnieją. Jeśli odpowiedź brzmi „Nie” Znaleziono” w narzędziu Pobierz jako Google istnieje ryzyko, że wszystko jest w porządku i możesz możesz zająć się usuwaniem luk w zabezpieczeniach witryny.
Jak zapobiec ponownym atakom?
Usunięcie luk w zabezpieczeniach witryny to kluczowy krok końcowy witrynie. Niedawne badanie wykazało, że 20% witryn zostaje ponownie zaatakowanych jednego dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Przeczytaj najczęstsze sposoby atakowania witryn przez spamerów . Jeśli jednak nie wiesz, jak została zaatakowana przez hakerów, oto lista kontrolna rzeczy, które możesz zrobić, Zmniejsz liczbę luk w zabezpieczeniach witryny:
- Regularnie skanuj komputer: używaj dowolnego popularnego skanera antywirusowego, aby sprawdzać, pod kątem wirusów i luk w zabezpieczeniach.
- Regularnie zmieniaj hasła: regularnie zmieniaj hasła na wszystkie konta powiązane z Twoją witryną, takie jak dostawca usług hostingowych, FTP czy CMS, zapobiegać nieautoryzowanemu dostępowi do witryny. Ważne, aby tworzyć solidne, unikalne hasło do każdego konta.
- Użycie Uwierzytelnianie dwuskładnikowe: Rozważ włączenie 2FA we wszystkich usługach, które wymagają logowania. Uwierzytelnianie dwuskładnikowe utrudnia hakerom zalogowanie się, nawet jeśli uda im się ukraść. hasła.
- Regularnie aktualizuj system CMS, wtyczki, rozszerzenia i moduły: Mam nadzieję, że ten krok masz już za sobą. Wiele witryn ulega atakom hakerów, ponieważ mają nieaktualne oprogramowanie. Niektóre systemy CMS obsługują automatyczne aktualizacje.
- Zastanów się nad subskrypcją usługi zabezpieczeń, która będzie monitorować Twoją witrynę: Istnieje wiele przydatnych usług, które pomogą Ci za niewielką opłatą. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.
Dodatkowe materiały
Jeśli nadal masz problem z naprawieniem szkód w witrynie, skorzystaj z innych metod: materiałów, które mogą być pomocne.
Te narzędzia przeskanują witrynę i być może znajdą problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.
To tylko kilka narzędzi, które mogą spróbować przeskanować Twoją witrynę pod kątem problemów treści. Pamiętaj, że te skanery nie gwarantują, identyfikować wszystkie rodzaje problematycznych treści.
Dodatkowe zasoby Google, które mogą się przydać:
.