תיקון הפריצה של מילות מפתח וקישורים מוסוות

המדריך הזה נוצר במיוחד לסוג פריצה שמוסיפה לאתר דפי ג'יבריש עם הרבה מילות מפתח, ואנחנו נתייחס אליהם בתור פריצה עם מילות מפתח מוסוות וקישורים. המדריך מיועד למשתמשים במערכות ניהול תוכן (CMS) פופולריות, אבל הוא יועיל לכם גם אם אתם לא משתמשים במערכת ניהול תוכן.

אנחנו רוצים לוודא שהמדריך הזה באמת יועיל לך. נשמח לקבל ממך משוב כדי לעזור לנו להשתפר!

זיהוי סוג הפריצה הזה

מילות המפתח והקישורים המוסוות יוצרות באופן אוטומטי דפים רבים עם טקסט, קישורים ותמונות שאינם רלוונטיים. לפעמים הדפים האלה מכילים רכיבי תבנית בסיסיים מהאתר המקורי, כך שבמבט ראשון הדפים עשויים להיראות כמו חלקים רגילים של האתר עד שתקראו את התוכן.

הדפים שנפרצו נוצרים כדי להשפיע על גורמי הדירוג של Google. האקרים בדרך כלל מנסים לייצר הכנסות מהתוכן הזה על ידי מכירת הקישורים בדפים שנפרצו לצדדים שלישיים שונים. לעיתים קרובות, הדפים שנפרצו גם יפנו את המבקרים לדף לא קשור, שבו האקרים יכולים להרוויח כסף.

בתור התחלה, כדאי לבדוק את הכלי בעיות אבטחה ב-Search Console כדי לראות אם Google גילתה דפים שנפרצו באתר. לפעמים אפשר גם לגלות דפים כאלה על ידי פתיחת חלון של חיפוש Google ומקלידים site:_your site url_, עם כתובת ה-URL ברמה הבסיסית של האתר. יוצגו הדפים ש-Google הוסיפה לאינדקס של האתר שלכם, כולל הדפים שנפרצו. עבור בין כמה דפים של תוצאות חיפוש כדי לראות אם אתה מזהה כתובות אתרים חריגות. אם אינך רואה תוכן שנפרץ בחיפוש Google, השתמש באותם מונחי חיפוש במנוע חיפוש אחר. הנה דוגמה לזה:

תוצאות חיפוש שנוצרו על ידי הפריצה הזו.
הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשלוחצים על קישור לדף פרוץ, תופנו לאתר אחר או שתראו דף שמלא בתוכן בג'יבריש. עם זאת, יכול להיות שגם תופיע הודעה שמציינת שהדף לא קיים (לדוגמה, שגיאה 404). אל תיפול בפח! האקרים ינסו לגרום לכם לחשוב שהדף נעלם או תוקן כשהוא עדיין פרוץ. הם עושים זאת על ידי הסוואה של תוכן. כדי לבדוק אם יש הסוואה, צריך להזין את כתובות ה-URL של האתר בכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לך לראות את התוכן המוסתר המקורי.

אם נתקלתם בבעיות האלה, סביר להניח שהאתר שלכם הושפע מפריצה מסוג זה.

דף לדוגמה שנוצר באמצעות הפריצה הזאת.
דוגמה לדף שנוצר באמצעות הפריצה הזאת.

תיקון הפריצה

לפני שמתחילים, כדאי ליצור עותק של קבצים במצב אופליין לפני שמסירים אותם, למקרה שתצטרכו לשחזר אותם מאוחר יותר. יתר על כן, מגבים את כל האתר לפני שתתחילו את תהליך הניקוי. כדי לעשות זאת, אפשר לשמור את כל הקבצים שנמצאים בשרת במיקום מחוץ לשרת שלכם, או לחפש את אפשרויות הגיבוי הטובות ביותר למערכת ניהול התוכן (CMS) הספציפית שלכם. אם אתם משתמשים במערכת ניהול תוכן, יש לגבות גם את מסד הנתונים.

בדיקת הקובץ .htaccess (3 שלבים)

פריצה עם מילות המפתח המוסוות והקישור משתמשת בקובץ .htaccess כדי ליצור באופן אוטומטי דפים מוסוות באתר. כדאי להכיר את העקרונות הבסיסיים של .htaccess באתר Apache הרשמי כדי להבין טוב יותר איך הפריצה משפיעה על האתר, אבל זה לא חובה.

שלב 1

צריך לאתר את הקובץ .htaccess באתר. אם אתם לא יודעים איפה למצוא את המידע, ואתם משתמשים במערכת ניהול תוכן כמו WordPress, Joomla או Drupal, תוכלו לחפש את המיקום ".htaccess file location" במנוע החיפוש יחד עם שם מערכת ניהול התוכן שלכם. בהתאם לאתר שלכם, ייתכן שתראו כמה קבצים של .htaccess. רשימה של כל מיקומי הקבצים ב-.htaccess.

שלב 2

כדי להציג את תוכן הקובץ, צריך לפתוח את הקובץ .htaccess. חפשו שורת קוד שנראית בערך כך:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

המשתנים בשורה הזו יכולים להשתנות. גם cj2fa וגם tobeornottobe יכולים להכיל כל שילוב של אותיות ומילים. חשוב לזהות את השדה .php שמצוינים בשורה הזו.

כותבים את הקובץ .php שמוזכר בקובץ .htaccess. בדוגמה, השם של הקובץ .php הוא injected_file.php, אבל במציאות שם הקובץ לא יהיה ברור כל כך. בדרך כלל מדובר בקבוצה אקראית של מילים תמימות כמו horsekeys.php או potatolake.php. סביר להניח שמדובר בקובץ .php זדוני שנצטרך לאתר ולהסיר אותו מאוחר יותר.

שלב 3

מחליפים את כל הקבצים .htaccess בגרסה נקייה או בגרסת ברירת מחדל של הקובץ .htaccess. בדרך כלל אפשר למצוא גרסת ברירת מחדל של קובץ .htaccess על ידי חיפוש 'קובץ .htaccess ברירת מחדל' ושם המערכת לניהול תוכן. באתרים עם מספר קובצי .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולהחליף אותו.

אם לא קיים .htaccess ברירת מחדל ומעולם לא הגדרתם קובץ .htaccess באתר, כנראה שהקובץ .htaccess שמצאתם באתר הוא זדוני. כדאי לשמור עותק של .htaccess הקבצים במצב אופליין, למקרה שהם יופיעו באתר שלכם.

איתור והסרה של קבצים זדוניים אחרים (5 שלבים)

הזיהוי של קבצים זדוניים עשוי להיות משימה מורכבת שגוזלת זמן רב. חשוב להקדיש זמן לבדיקת הקבצים. אם עדיין לא עשיתם זאת, זה הזמן לגבות את הקבצים באתר שלכם. חפשו ב-Google את הביטוי "אתר לגיבוי" ואת שם מערכת ניהול התוכן שלכם כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, כדאי להתקין מחדש את כל קובצי הליבה (ברירת המחדל) שכלולים בהתפלגות ברירת המחדל של מערכת ניהול התוכן, יחד עם כל הקבצים שהוספתם (כמו עיצובים, מודולים ויישומי פלאגין). כך אפשר לוודא שהקבצים האלה נקיים מתוכן פרוץ. תוכלו לחפש ב-Google את "reinstall" ואת שם ה-CMS שלכם כדי למצוא הוראות להתקנה מחדש. אם יש לכם יישומי פלאגין, מודולים, תוספים או עיצובים, הקפידו להתקין גם אותם מחדש.

שלב 2

מתחילים בחיפוש הקובץ .php שזיהיתם בקובץ .htaccess קודם לכן. בהתאם לאופן שבו אתם ניגשים לקבצים בשרת, אמור להיות לכם סוג מסוים של פונקציונליות חיפוש. חפשו את שם הקובץ הזדוני. אם מצאתם אותו, קודם צרו עותק לגיבוי ושמרו אותו במיקום אחר, למקרה שתצטרכו לשחזר אותו, ואז מחקו אותו מהאתר שלכם.

שלב 3

מחפשים קבצים זדוניים אוי פריצה. יכול להיות שכבר הסרתם את כל הקבצים הזדוניים בשני השלבים הקודמים, אבל עדיף לבצע את השלבים הבאים במקרה שיש עוד קבצים שנפרצו באתר.

אל תתבלבלו אם תחשבו שאתם צריכים לפתוח כל קובץ PHP ולחפש אותו. בשלב הראשון יוצרים רשימה של קובצי PHP חשודים שרוצים לחקור. לפניכם כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

  • אם כבר טענתם מחדש את הקבצים של מערכת ניהול התוכן, צריך לבדוק רק קבצים שהם לא חלק מהקבצים או מהתיקיות שמוגדרים כברירת מחדל במערכת ניהול התוכן. הפעולה הזו אמורה לשלול קובצי PHP רבים, ולהשאיר מספר קטן של קבצים לבדוק.
  • ממיינים את הקבצים באתר לפי תאריך השינוי האחרון שלהם. חפשו קבצים ששונו כמה חודשים מהרגע שבו גיליתם שהאתר נפרץ.
  • ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים באופן חריג.

שלב 4

לאחר יצירת רשימה של קובצי PHP חשודים, צריך לבדוק אם הם זדוניים. אם אתם לא מכירים את PHP, התהליך הזה עשוי לגזול יותר זמן, לכן כדאי לרענן את הידע שלכם במסמכי התיעוד של PHP. אם אתם רק מתחילים בתכנות, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן, ולא נהוג לערוך את הקבצים האלה באופן ישיר, עליכם להשוות בין הקבצים בשרת לבין רשימה של קובצי ברירת המחדל שארוזים עם מערכת ניהול התוכן, כמו גם יישומי פלאגין ועיצובים. כדאי לחפש קבצים שלא שייכים, וכן קבצים שגדולים מגרסת ברירת המחדל שלהם.

תחילה, בדקו את הקבצים החשודים שכבר זיהיתם, כדי לחפש גושי טקסט גדולים עם שילוב של מספרים ואותיות מעורבלים לכאורה. בדרך כלל מופיע לפני קטע הטקסט הגדול שילוב של פונקציות PHP כמו base64_decode, rot13, eval, strrev או gzinflate. הדוגמה הבאה ממחישה איך גוש הקוד הזה עשוי להיראות. לפעמים כל הקוד ימולא בשורת טקסט ארוכה אחת, כדי שייראה קטן יותר מכפי שהוא בפועל.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

לפעמים הקוד לא מבולגן והוא נראה כמו סקריפט רגיל. אם אתם לא בטוחים שהקוד שגוי, בפורומים לעזרה למנהלי אתרים תוכלו להיעזר בקבוצה של מנהלי אתרים מנוסים.

שלב 5

עכשיו, אחרי שאתם יודעים אילו קבצים חשודים, תוכלו ליצור גיבוי או עותק מקומי על ידי שמירתם במחשב למקרה שלא כל הקבצים זדוניים, ולמחוק את הקבצים החשודים מהאתר.

לבדוק אם האתר נקי

לאחר שתסיימו לחלץ קבצים שנפרצו, בדקו אם העבודה הקשה השתלמה. זוכרים את דפי הג'יבריש שזיהיתם קודם לכן? השתמשו שוב בכלי 'אחזור כ-Google' כדי לבדוק אם הן עדיין קיימות. אם הם מגיבים כ"לא נמצא" בכלי 'אחזור כמו Google', רוב הסיכויים שמצבכם טוב ותוכלו להמשיך בתיקון נקודות החולשה באתר שלכם.

איך אפשר למנוע פריצה נוספת?

תיקון נקודות החולשה באתר הוא השלב האחרון החיוני לתיקון האתר. מחקר שנערך לאחרונה מצא ש-20% מהאתרים הפרוצים נפרצים שוב תוך יום אחד. אם אתם יודעים בדיוק איך האתר נפרץ, זה מועיל. מומלץ לקרוא את המדריך הדרכים המובילות לפריצה של אתרים על ידי מפיצי ספאם כדי להתחיל בבדיקה. עם זאת, אם אתם לא יודעים איך האתר נפרץ, ריכזנו כאן רשימת פעולות שאפשר לבצע כדי לצמצם את נקודות החולשה באתר:

  • סרוק את המחשב באופן קבוע: השתמשו בכל סורק וירוסים פופולרי כדי לבדוק אם יש וירוסים או נקודות חולשה.
  • שינוי הסיסמאות באופן קבוע: שינוי הסיסמאות באופן קבוע לכל החשבונות באתר, כמו ספק האירוח, FTP ו-CMS, יכול למנוע גישה לא מורשית לאתר. חשוב ליצור סיסמה חזקה וייחודית לכל חשבון.
  • שימוש באימות דו-שלבי (2FA): אפשר להפעיל אימות דו-שלבי בכל שירות שבו צריך להיכנס לחשבון. אימות 2FA מקשה על האקרים להיכנס לחשבון, גם אם הם גונבים את הסיסמה שלכם.
  • לעדכן באופן קבוע את מערכת ניהול התוכן, יישומי הפלאגין, התוספים והמודולים: אנחנו מקווים שכבר ביצעתם את השלב הזה. אתרים רבים נפרצו כי הם מריצים תוכנה מיושנת. מערכות מסוימות לניהול תוכן תומכות בעדכון אוטומטי.
  • כדאי להירשם לשירות אבטחה כדי לעקוב אחר האתר: יש הרבה שירותים מעולים שיכולים לעזור לכם לעקוב אחר האתר תמורת תשלום נמוך. מומלץ להירשם לשירות הזה כדי לשמור על בטיחות האתר.

משאבים נוספים

אם אתם עדיין נתקלים בבעיות בתיקון האתר, יש עוד כמה משאבים שעשויים לעזור לכם.

הכלים האלה סורקים את האתר ויכולים לאתר תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה אותם או תומכת בהם.

אלו רק כמה כלים שיכולים לסרוק את האתר כדי לאתר תוכן בעייתי. חשוב לזכור שהסורקים האלה לא יכולים להבטיח שהם יזהו כל סוג של תוכן בעייתי.

הנה משאבים נוספים מ-Google שיכולים לעזור לך: