Исправьте бредовый хак

Это руководство создано специально для хака, который добавляет на ваш сайт страницы с кучей ключевых слов, который мы будем называть хаком с тарабарщиной. Оно предназначено для пользователей популярных систем управления контентом (CMS) , но вы найдете это руководство полезным, даже если вы не используете CMS.

Мы хотим убедиться, что это руководство действительно вам поможет. Оставляйте отзывы , чтобы помочь нам стать лучше!

Этот бредовый хак автоматически создает на вашем сайте множество страниц с бессмысленными предложениями, заполненными ключевыми словами. Это страницы, которые вы не создавали, но имеют URL-адреса, которые могут быть привлекательными для пользователей. Хакеры делают это, чтобы взломанные страницы появлялись в поиске Google. Затем, если люди попытаются посетить эти страницы, они будут перенаправлены на несвязанную страницу. Хакеры зарабатывают деньги, когда люди посещают эти несвязанные страницы. Вот несколько примеров типов файлов, которые вы можете увидеть на сайте, пострадавшем от взлома:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Иногда они появляются в папке, состоящей из случайных символов, и используют разные языки:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Начните с проверки инструмента «Проблемы безопасности» в консоли поиска, чтобы узнать, не обнаружил ли Google какую-либо из этих взломанных страниц на вашем сайте. Иногда вы также можете найти подобные страницы, открыв окно поиска Google и набрав site:_your site url_ с URL-адресом корневого уровня вашего сайта. Это покажет вам страницы, которые Google проиндексировал для вашего сайта, включая взломанные. Пролистните пару страниц результатов поиска, чтобы увидеть, не заметили ли вы какие-нибудь необычные URL-адреса. Если вы не видите взломанного контента в Google Поиске, используйте те же поисковые запросы в другой поисковой системе. Вот пример того, как это будет выглядеть:

Результаты поиска показывают страницы этого взлома.
Взломанные страницы появляются в результатах поиска Google.

Обычно, когда вы нажимаете ссылку на взломанную страницу, вы либо будете перенаправлены на другой сайт, либо увидите страницу, полную тарабарщины. Однако вы также можете увидеть сообщение о том, что страница не существует (например, ошибка 404). Не дайте себя обмануть! Хакеры попытаются обманом заставить вас думать, что страница исчезла или исправлена, хотя она все еще взломана. Они делают это путем маскировки контента. Проверьте наличие клоакинга, введя URL-адреса вашего сайта в инструменте проверки URL-адресов . Инструмент «Просмотреть как Google» позволяет увидеть скрытый контент.

Если вы видите эти проблемы, скорее всего, ваш сайт пострадал от взлома такого типа.

Исправьте взлом

Прежде чем начать, создайте автономную копию любых файлов, прежде чем удалять их, на случай, если вам понадобится восстановить их позже. А еще лучше сделайте резервную копию всего сайта, прежде чем начинать процесс очистки. Вы можете сделать это, сохранив все файлы, находящиеся на вашем сервере, в другом месте или выполнив поиск лучших вариантов резервного копирования для вашей конкретной системы управления контентом (CMS). Если вы используете CMS, также сделайте резервную копию базы данных.

Проверьте свой файл .htaccess (2 шага)

Этот бредовый хак перенаправляет посетителей с вашего сайта с помощью файла .htaccess .

Шаг 1

Найдите файл .htaccess на своем сайте. Если вы не уверены, где его найти, и используете такую ​​CMS, как WordPress, Joomla или Drupal, найдите в поисковой системе «расположение файла .htaccess» вместе с названием вашей CMS. В зависимости от вашего сайта вы можете увидеть несколько файлов .htaccess . Составьте список всех местоположений файлов .htaccess .

Шаг 2

Замените все файлы .htaccess чистой версией файла .htaccess или версией по умолчанию. Обычно вы можете найти версию файла .htaccess по умолчанию, выполнив поиск по «файлу .htaccess по умолчанию» и имени вашей CMS. Для сайтов с несколькими файлами .htaccess найдите чистую версию каждого из них и замените их.

Если .htaccess по умолчанию не существует и вы никогда не настраивали файл .htaccess на своем сайте, файл .htaccess , который вы найдете на своем сайте, вероятно, является вредоносным. На всякий случай сохраните копию файлов .htaccess в автономном режиме и удалите файл .htaccess со своего сайта.

Найдите и удалите другие вредоносные файлы (5 шагов)

Выявление вредоносных файлов может оказаться сложной задачей и отнять много времени. Не торопитесь при проверке файлов. Если вы еще этого не сделали, сейчас самое время сделать резервную копию файлов на вашем сайте. Выполните поиск в Google по запросу «резервное копирование сайта» и названию вашей CMS, чтобы найти инструкции по резервному копированию вашего сайта.

Шаг 1

Если вы используете CMS, переустановите все основные файлы (по умолчанию), которые входят в дистрибутив вашей CMS по умолчанию, а также все, что вы добавили (например, темы, модули, плагины). Это помогает гарантировать, что эти файлы не содержат взломанного контента. Вы можете выполнить поиск в Google по запросу «переустановить» и имени вашей CMS, чтобы найти инструкции по переустановке. Если у вас есть какие-либо плагины, модули, расширения или темы, обязательно переустановите их.

Шаг 2

Теперь вам нужно поискать оставшиеся вредоносные или скомпрометированные файлы. Это самая сложная и трудоемкая часть процесса, но после этого все почти готово!

Этот хак обычно оставляет два типа файлов: файлы .txt и файлы .php. Файлы .txt представляют собой файлы шаблонов, а файлы .php определяют, какой тип бессмысленного контента загружать на ваш сайт.

Начните с поиска файлов .txt . В зависимости от того, как вы подключаетесь к своему сайту, вы должны увидеть ту или иную функцию поиска файлов. Найдите «.txt», чтобы найти все файлы с расширением .txt . Большинство из них будут законными файлами, такими как лицензионные соглашения или файлы readme. Вы ищете набор файлов .txt , содержащих HTML-код, используемый для создания шаблонов спама. Вот фрагменты различных фрагментов кода, которые вы можете найти в этих вредоносных файлах .txt .

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Хакеры используют замену ключевых слов для создания спам-страниц. Скорее всего, вы увидите какое-то общее слово, которое можно заменить во всем взломанном файле.

Кроме того, большинство этих файлов содержат тот или иной код, который размещает спам-ссылки и спам-текст за пределами видимой страницы.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Удалите эти файлы .txt . Если они все находятся в одной папке, удалите всю папку.

Шаг 3

Вредоносные файлы PHP отследить немного сложнее. На вашем сайте может быть один или несколько вредоносных PHP-файлов. Все они могут находиться в одном подкаталоге или разбросаны по всему сайту.

Не расстраивайтесь, думая, что вам нужно открыть и просмотреть каждый файл PHP. Начните с создания списка подозрительных PHP-файлов, которые вы хотите изучить. Вот несколько способов определить, какие файлы PHP являются подозрительными:

  • Поскольку вы уже перезагрузили файлы CMS, просматривайте только те файлы, которые не являются частью файлов или папок CMS по умолчанию. Это должно устранить большое количество файлов PHP и оставить вам несколько файлов для просмотра.
  • Отсортируйте файлы на вашем сайте по дате последнего изменения. Ищите файлы, которые были изменены в течение нескольких месяцев с момента, когда вы впервые обнаружили, что ваш сайт был взломан.
  • Сортируйте файлы на вашем сайте по размеру. Ищите любые необычно большие файлы.

Шаг 4

Получив список подозрительных файлов PHP, проверьте, не являются ли они вредоносными. Если вы не знакомы с PHP, этот процесс может занять больше времени, поэтому подумайте о том, чтобы освежить некоторую документацию по PHP . Если вы новичок в программировании, мы рекомендуем получить помощь . Между тем, есть несколько основных закономерностей, по которым можно идентифицировать вредоносные файлы.

Если вы используете CMS и не имеете привычки редактировать эти файлы напрямую, сравните файлы на своем сервере со списком файлов по умолчанию, упакованных с CMS, а также любыми плагинами и темами. Ищите чужие файлы, а также файлы, размер которых превышает их версию по умолчанию.

Сначала просмотрите подозрительные файлы, которые вы уже идентифицировали, на предмет больших блоков текста, содержащих, казалось бы, беспорядочные буквы и цифры. Большому блоку текста обычно предшествует комбинация функций PHP, таких как base64_decode , rot13 , eval , strrev или gzinflate . Вот пример того, как может выглядеть этот блок кода. Иногда весь этот код помещается в одну длинную строку текста, из-за чего он выглядит меньше, чем есть на самом деле.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode
(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"
));

Иногда код не беспорядочен и выглядит как обычный скрипт. Если вы не уверены, является ли код плохим, загляните в справочное сообщество Центра Google Поиска , где группа опытных веб-мастеров поможет вам просмотреть файлы.

Шаг 5

Теперь, когда вы знаете, какие файлы являются подозрительными, создайте резервную копию или локальную копию, сохранив их на своем компьютере, на случай, если какие-либо файлы не являются вредоносными, и удалите подозрительные файлы со своего сайта.

Проверьте, чистый ли ваш сайт

Завершив избавление от взломанных файлов, проверьте, окупилась ли ваша тяжелая работа. Помните те бессмысленные страницы, которые вы обнаружили ранее? Снова используйте для них инструмент «Просмотреть как Google», чтобы проверить, существуют ли они еще. Если они ответят «Не найдено» в Fetch as Google, скорее всего, вы в хорошей форме и можете перейти к исправлению уязвимостей на своем сайте.

Как предотвратить повторный взлом?

Исправление уязвимостей на вашем сайте — это важный заключительный шаг для исправления вашего сайта. Недавнее исследование показало, что 20% взломанных сайтов подвергаются повторному взлому в течение одного дня. Полезно знать, как именно был взломан ваш сайт. Прочтите наше руководство по основным способам взлома веб-сайтов спамерами, чтобы начать расследование. Однако, если вы не можете выяснить, как ваш сайт был взломан, ниже приведен контрольный список того, что вы можете сделать, чтобы уменьшить количество уязвимостей на вашем сайте:

  • Регулярно сканируйте свой компьютер. Используйте любой популярный антивирусный сканер для проверки на наличие вирусов и уязвимостей.
  • Регулярно меняйте пароли. Регулярная смена паролей для всех учетных записей вашего веб-сайта, таких как хостинг-провайдер, FTP и CMS, может предотвратить несанкционированный доступ к вашему сайту. Важно создать надежный и уникальный пароль для каждой учетной записи.
  • Используйте двухфакторную аутентификацию (2FA) : рассмотрите возможность включения 2FA для любой службы, требующей входа в систему. 2FA усложняет вход хакерам, даже если они успешно украдут ваш пароль.
  • Регулярно обновляйте свою CMS, плагины, расширения и модули. Надеюсь, вы уже сделали этот шаг. Многие сайты подвергаются взлому, потому что на них установлено устаревшее программное обеспечение. Некоторые CMS поддерживают автоматическое обновление.
  • Рассмотрите возможность подписки на службу безопасности для мониторинга вашего сайта: существует множество отличных сервисов, которые могут помочь вам контролировать ваш сайт за небольшую плату. Рассмотрите возможность регистрации у них, чтобы обеспечить безопасность вашего сайта.

Дополнительные ресурсы

Если у вас по-прежнему возникают проблемы с исправлением вашего сайта, есть еще несколько ресурсов, которые могут вам помочь.

Эти инструменты сканируют ваш сайт и могут найти проблемный контент. За исключением VirusTotal, Google их не запускает и не поддерживает.

Это лишь некоторые инструменты, которые могут сканировать ваш сайт на наличие проблемного контента. Имейте в виду, что эти сканеры не могут гарантировать, что они определят все типы проблемного контента.

Вот дополнительные ресурсы от Google, которые могут вам помочь: