המדריך הזה נוצר במיוחד לסוג פריצה שמוסיפה לאתר דפי ג'יבריש עמוסים במילות מפתח, והם נתייחס אליהם כפריצה מסוג ג'יבריש. המדריך מיועד למשתמשים במערכות ניהול תוכן (CMS) פופולריות, אבל הוא יועיל לכם גם אם אתם לא משתמשים במערכת ניהול תוכן.
אנחנו רוצים לוודא שהמדריך הזה באמת יועיל לך. נשמח לקבל ממך משוב כדי לעזור לנו להשתפר!
זיהוי סוג הפריצה הזה
פריצה מסוג ג'יבריש יוצרת באופן אוטומטי דפים רבים עם משפטים חסרי משמעות שממולאים במילות מפתח באתר שלכם. אלו דפים שלא אתם יצרתם, אבל כתובות ה-URL שלהם עשויות לשכנע את המשתמשים ללחוץ עליהן. האקרים עושים זאת כדי שהדפים שנפרצו יופיעו בחיפוש Google. לאחר מכן, אם אנשים ינסו לבקר בדפים האלה, הם יופנו מחדש לדף לא קשור. האקרים מרוויחים כסף כשאנשים מבקרים בדפים שאינם קשורים לכך. הנה כמה דוגמאות של סוגי הקבצים שאתם עשויים לראות באתר שהושפעו מפרצת הג'יבריש:
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
לפעמים הם מופיעים בתיקייה שמורכבת מתווים אקראיים ומופיעים בשפות שונות:
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
בתור התחלה, כדאי לבדוק את הכלי בעיות אבטחה ב-Search Console כדי לראות אם Google גילתה דפים שנפרצו באתר. לפעמים אפשר גם לגלות דפים כאלה על ידי פתיחת חלון של חיפוש Google ומקלידים site:_your site url_, עם כתובת ה-URL ברמה הבסיסית של האתר. יוצגו הדפים ש-Google הוסיפה לאינדקס של האתר שלכם, כולל הדפים שנפרצו. עבור בין כמה דפים של תוצאות חיפוש כדי לראות
אם אתה מזהה כתובות אתרים חריגות. אם אינך רואה תוכן שנפרץ בחיפוש Google, השתמש באותם מונחי חיפוש במנוע חיפוש אחר. הנה דוגמה לזה:
בדרך כלל, כשלוחצים על קישור לדף פרוץ, תופנו לאתר אחר או שתראו דף שמלא בתוכן בג'יבריש. עם זאת, יכול להיות שגם תופיע הודעה שמציינת שהדף לא קיים (לדוגמה, שגיאה 404). אל תיפול בפח! האקרים ינסו לגרום לכם לחשוב שהדף נעלם או תוקן כשהוא עדיין פרוץ. הם עושים זאת על ידי הסוואה של תוכן. כדי לבדוק אם יש הסוואה, צריך להזין את כתובות ה-URL של האתר בכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לך לראות את התוכן המוסתר המקורי.
אם נתקלתם בבעיות האלה, סביר להניח שהאתר שלכם הושפע מפריצה מסוג זה.
תיקון הפריצה
לפני שמתחילים, כדאי ליצור עותק של קבצים במצב אופליין לפני שמסירים אותם, למקרה שתצטרכו לשחזר אותם מאוחר יותר. יתר על כן, מגבים את כל האתר לפני שתתחילו את תהליך הניקוי. כדי לעשות זאת, אפשר לשמור את כל הקבצים שנמצאים בשרת במיקום מחוץ לשרת שלכם, או לחפש את אפשרויות הגיבוי הטובות ביותר למערכת ניהול התוכן (CMS) הספציפית שלכם. אם אתם משתמשים במערכת ניהול תוכן, יש לגבות גם את מסד הנתונים.
בדיקת הקובץ .htaccess (שני שלבים)
פריצה מסוג ג'יבריש מפנה אוטומטית מבקרים מהאתר באמצעות הקובץ .htaccess.
שלב 1
צריך לאתר את הקובץ .htaccess באתר. אם אתם לא יודעים איפה למצוא את המידע, ואתם משתמשים במערכת ניהול תוכן כמו WordPress, Joomla או Drupal, תוכלו לחפש את המיקום ".htaccess file location" במנוע החיפוש יחד עם שם מערכת ניהול התוכן שלכם.
בהתאם לאתר שלכם, ייתכן שתראו כמה קבצים של .htaccess.
רשימה של כל מיקומי הקבצים ב-.htaccess.
שלב 2
מחליפים את כל קובצי .htaccess בגרסה נקייה או בגרסת ברירת מחדל של הקובץ .htaccess. בדרך כלל אפשר למצוא גרסת ברירת מחדל של קובץ .htaccess על ידי חיפוש 'קובץ .htaccess ברירת מחדל' ואז השם של מערכת ניהול התוכן. באתרים עם מספר קובצי .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולהחליף אותם.
אם לא קיים .htaccess ברירת מחדל ומעולם לא הגדרתם קובץ .htaccess באתר, כנראה שהקובץ .htaccess שמצאתם באתר הוא זדוני.
אפשר לשמור עותק של .htaccess הקבצים במצב אופליין למקרה הצורך, ולמחוק את הקובץ .htaccess מהאתר.
איתור והסרה של קבצים זדוניים אחרים (5 שלבים)
הזיהוי של קבצים זדוניים עשוי להיות משימה מורכבת שגוזלת זמן רב. חשוב להקדיש זמן לבדיקת הקבצים. אם עדיין לא עשיתם זאת, זה הזמן לגבות את הקבצים באתר שלכם. חפשו ב-Google את הביטוי "אתר לגיבוי" ואת שם מערכת ניהול התוכן שלכם כדי למצוא הוראות לגיבוי האתר.
שלב 1
אם אתם משתמשים במערכת ניהול תוכן, כדאי להתקין מחדש את כל קובצי הליבה (ברירת המחדל) שכלולים בהתפלגות ברירת המחדל של מערכת ניהול התוכן, יחד עם כל הקבצים שהוספתם (כמו עיצובים, מודולים ויישומי פלאגין). כך אפשר לוודא שהקבצים האלה נקיים מתוכן פרוץ. תוכלו לחפש ב-Google את "reinstall" ואת שם ה-CMS שלכם כדי למצוא הוראות להתקנה מחדש. אם יש לכם יישומי פלאגין, מודולים, תוספים או עיצובים, הקפידו להתקין גם אותם מחדש.
שלב 2
עכשיו עליך לחפש אם יש עוד קבצים זדוניים או קבצים שנפרצו. זה החלק הקשה ביותר שגוזל זמן רב, אבל אחר כך כמעט סיימת!
הפריצה הזאת בדרך כלל משאירה שני סוגי קבצים: קובצי .txt וקובצי .php. מוצגים קובצי .txt, וקובצי .php קובעים איזה סוג של תוכן חסר משמעות לטעון לאתר.
קודם כל צריך לחפש את הקבצים של .txt. בהתאם לאופן שבו אתם מתחברים לאתר, תראו סוג מסוים של תכונת חיפוש לקבצים. מחפשים את '.txt' כדי לשלוף את כל הקבצים עם סיומת .txt. רובם יהיו קבצים חוקיים כמו הסכמי רישיון או קובצי Readme. אתם מחפשים קבוצה של קובצי .txt שמכילים קוד HTML שמשמש ליצירת תבניות ספאם. לפניכם קטעי קוד שונים שאתם עשויים למצוא בקבצים הזדוניים האלה ב-.txt.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
האקרים משתמשים בהחלפה של מילות מפתח כדי ליצור את הדפים הספאמיים. סביר להניח שתראו מילה גנרית שניתן להחליף בכל הקובץ שנפרץ.
בנוסף, רוב הקבצים האלה מכילים סוג כלשהו של קוד שממקם קישורי ספאם וטקסט ספאמי בדף הגלוי.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
הסרת .txt הקבצים האלה. אם כולם נמצאים באותה תיקייה, מסירים את התיקייה כולה.
שלב 3
קצת יותר קשה לאתר את קובצי ה-PHP הזדוניים. ייתכן שהאתר שלכם מכיל קובץ PHP זדוני אחד או יותר. הם יכולים להיכלל באותה ספריית משנה או מפוזרים ברחבי האתר.
אל תתבלבלו אם תחשבו שאתם צריכים לפתוח כל קובץ PHP ולחפש אותו. התחל על ידי יצירת רשימה של קובצי PHP חשודים שברצונך לחקור. לפניכם כמה דרכים לקבוע אילו קובצי PHP הם חשודים:
- מכיוון שכבר טענתם מחדש את הקבצים של מערכת ניהול התוכן, כדאי לבדוק רק קבצים שהם לא חלק מהקבצים או התיקיות שמוגדרים כברירת מחדל במערכת ניהול התוכן. הפעולה הזו אמורה למחוק מספר גדול של קובצי PHP ולהשאיר מספר קטן של קבצים לבדוק.
- ממיינים את הקבצים באתר לפי תאריך השינוי האחרון. חפשו קבצים ששונו כמה חודשים מהמועד שבו גיליתם שהאתר נפרץ.
- ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים באופן חריג.
שלב 4
לאחר יצירת רשימה של קובצי PHP חשודים, צריך לבדוק אם הם זדוניים. אם אתם לא מכירים את PHP, התהליך הזה עשוי לגזול יותר זמן, לכן כדאי לרענן את הידע שלכם במסמכי התיעוד של PHP. אם אתם רק מתחילים בתכנות, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.
אם אתם משתמשים במערכת ניהול תוכן, ולא נהוג לערוך את הקבצים האלה באופן ישיר, עליכם להשוות בין הקבצים בשרת לבין רשימה של קובצי ברירת המחדל שארוזים עם מערכת ניהול התוכן, כמו גם יישומי פלאגין ועיצובים. כדאי לחפש קבצים שלא שייכים, וכן קבצים שגדולים מגרסת ברירת המחדל שלהם.
תחילה, בדקו את הקבצים החשודים שכבר זיהיתם, כדי לחפש גושי טקסט גדולים עם שילוב של מספרים ואותיות מעורבלים לכאורה. בדרך כלל מופיע לפני קטע הטקסט הגדול שילוב של פונקציות PHP כמו base64_decode, rot13, eval, strrev או gzinflate.
הדוגמה הבאה ממחישה איך גוש הקוד הזה עשוי להיראות. לפעמים כל הקוד ימולא בשורת טקסט ארוכה אחת, כדי שייראה קטן יותר מכפי שהוא בפועל.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
לפעמים הקוד לא מבולגן והוא נראה כמו סקריפט רגיל. אם אתם לא בטוחים שהקוד שגוי, בקהילת העזרה של Google Search Central תוכלו להיעזר בקבוצה של מנהלי אתרים מנוסים.
שלב 5
עכשיו, אחרי שאתם יודעים אילו קבצים חשודים, תוכלו ליצור גיבוי או עותק מקומי על ידי שמירתם במחשב למקרה שלא כל הקבצים זדוניים, ולמחוק את הקבצים החשודים מהאתר.
לבדוק אם האתר נקי
לאחר שתסיימו לחלץ קבצים שנפרצו, בדקו אם העבודה הקשה השתלמה. זוכרים את דפי הג'יבריש שזיהיתם קודם לכן? השתמשו שוב בכלי 'אחזור כ-Google' כדי לבדוק אם הן עדיין קיימות. אם הם מגיבים כ"לא נמצא" בכלי 'אחזור כמו Google', רוב הסיכויים שמצבכם טוב ותוכלו להמשיך בתיקון נקודות החולשה באתר שלכם.
איך אפשר למנוע פריצה נוספת?
תיקון נקודות החולשה באתר הוא השלב האחרון החיוני לתיקון האתר. מחקר שנערך לאחרונה מצא ש-20% מהאתרים הפרוצים נפרצים שוב תוך יום אחד. אם אתם יודעים בדיוק איך האתר נפרץ, זה מועיל. מומלץ לקרוא את המדריך הדרכים המובילות לפריצה של אתרים על ידי מפיצי ספאם כדי להתחיל בבדיקה. עם זאת, אם אתם לא יודעים איך האתר נפרץ, ריכזנו כאן רשימת פעולות שאפשר לבצע כדי לצמצם את נקודות החולשה באתר:
- סרוק את המחשב באופן קבוע: השתמשו בכל סורק וירוסים פופולרי כדי לבדוק אם יש וירוסים או נקודות חולשה.
- שינוי הסיסמאות באופן קבוע: שינוי הסיסמאות באופן קבוע לכל החשבונות באתר, כמו ספק האירוח, FTP ו-CMS, יכול למנוע גישה לא מורשית לאתר. חשוב ליצור סיסמה חזקה וייחודית לכל חשבון.
- שימוש באימות דו-שלבי (2FA): אפשר להפעיל אימות דו-שלבי בכל שירות שבו צריך להיכנס לחשבון. אימות 2FA מקשה על האקרים להיכנס לחשבון, גם אם הם גונבים את הסיסמה שלכם.
- לעדכן באופן קבוע את מערכת ניהול התוכן, יישומי הפלאגין, התוספים והמודולים: אנחנו מקווים שכבר ביצעתם את השלב הזה. אתרים רבים נפרצו כי הם מריצים תוכנה מיושנת. מערכות מסוימות לניהול תוכן תומכות בעדכון אוטומטי.
- כדאי להירשם לשירות אבטחה כדי לעקוב אחר האתר: יש הרבה שירותים מעולים שיכולים לעזור לכם לעקוב אחר האתר תמורת תשלום נמוך. מומלץ להירשם לשירות הזה כדי לשמור על בטיחות האתר.
משאבים נוספים
אם אתם עדיין נתקלים בבעיות בתיקון האתר, יש עוד כמה משאבים שעשויים לעזור לכם.
הכלים האלה סורקים את האתר ויכולים לאתר תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה אותם או תומכת בהם.
אלו רק כמה כלים שיכולים לסרוק את האתר כדי לאתר תוכן בעייתי. חשוב לזכור שהסורקים האלה לא יכולים להבטיח שהם יזהו כל סוג של תוכן בעייתי.
הנה משאבים נוספים מ-Google שיכולים לעזור לך: