Это руководство описывает один из способов автоматического создания японского текста на вашем сайте, который мы называем «хаком с японскими ключевыми словами». Оно предназначено для пользователей популярных систем управления контентом (CMS) , но это руководство будет полезно и для тех, кто не использует CMS.
Определите этот тип взлома
Как правило, для монетизации японских ключевых слов на вашем сайте создаются новые страницы с автоматически сгенерированным японским текстом в случайно выбранных каталогах (например, http://example.com/ltjmnjp/341.html ). Эти страницы монетизируются с помощью партнерских ссылок на магазины, продающие поддельные товары известных брендов, и затем отображаются в результатах поиска Google. Вот пример того, как выглядит одна из таких страниц:

При таком способе взлома злоумышленник обычно добавляет себя в качестве владельца сайта в Search Console, чтобы увеличить прибыль, манипулируя настройками вашего сайта, такими как геотаргетинг или карта сайта. Если вы получили уведомление о том, что кто-то, кого вы не знаете, подтвердил ваш сайт в Google Search Console , существует высокая вероятность того, что ваш сайт был взломан.
Для начала проверьте инструмент « Проблемы безопасности» в Search Console, чтобы узнать, обнаружил ли Google какие-либо взломанные страницы на вашем сайте. Иногда подобные страницы можно обнаружить, открыв окно поиска Google и введя site:_your site url_ , указав корневой URL-адрес вашего сайта. Это покажет вам страницы, которые Google проиндексировал для вашего сайта, включая взломанные страницы. Просмотрите несколько страниц результатов поиска, чтобы увидеть, нет ли каких-либо необычных URL-адресов. Если вы не видите взломанного контента в поиске Google, используйте те же поисковые запросы в другой поисковой системе. Вот пример того, как это будет выглядеть:

Обычно, когда вы переходите по ссылке на взломанную страницу, вас либо перенаправляют на другой сайт, либо вы видите страницу, полную бессмысленного текста. Однако вы также можете увидеть сообщение о том, что страница не существует (например, ошибка 404). Не дайте себя обмануть! Хакеры пытаются ввести вас в заблуждение, заставляя думать, что страница удалена или исправлена, хотя она всё ещё взломана. Они делают это, скрывая контент. Проверьте наличие скрытого контента, введя URL-адреса вашего сайта в инструмент проверки URL-адресов . Этот инструмент позволяет увидеть скрытый контент.
Если вы заметили эти проблемы, скорее всего, ваш сайт пострадал от подобного рода хакерской атаки.
Исправить взлом
Перед началом работы сделайте резервную копию всех файлов, прежде чем удалять их, на случай, если потребуется восстановить их позже. Еще лучше — создайте резервную копию всего сайта перед началом процесса очистки. Это можно сделать, сохранив все файлы с вашего сервера в удаленное хранилище или найдя лучшие варианты резервного копирования для вашей системы управления контентом (CMS). Если вы используете CMS, также создайте резервную копию базы данных.
Удалите недавно созданные учетные записи из Search Console.
Если в вашу учетную запись Search Console добавлен новый владелец, которого вы не знаете, как можно скорее отзовите его доступ. Вы можете проверить, какие пользователи подтверждены для вашего сайта, на странице подтверждения Search Console . Нажмите «Подробности подтверждения» для вашего сайта, чтобы просмотреть всех подтвержденных пользователей.
Чтобы удалить владельца из Search Console, обратитесь к разделу «Удаление владельца» в справочном центре «Управление пользователями, владельцами и разрешениями» . Вам потребуется удалить связанный с ним токен подтверждения, который обычно представляет собой либо HTML-файл в корневой директории вашего сайта, либо динамически генерируемый файл .htaccess имитирующий HTML-файл.
Если вы не можете найти HTML-токен подтверждения на своем сайте, проверьте наличие правила перезаписи в файле .htaccess . Правило перезаписи будет выглядеть примерно так:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Чтобы удалить динамически сгенерированный токен подтверждения из файла .htaccess , выполните следующие действия:
Проверьте свой файл .htaccess (2 шага)
Помимо использования файла .htaccess для создания динамически генерируемых токенов подтверждения, хакеры часто используют правила .htaccess для перенаправления пользователей или создания бессмысленных спам-страниц. Если у вас нет собственных правил .htaccess , рассмотрите возможность замены вашего .htaccess на совершенно новый.
Шаг 1
Найдите файл .htaccess на вашем сайте. Если вы не уверены, где его найти, и используете CMS, такую как WordPress, Joomla или Drupal, выполните поиск в поисковой системе по запросу "расположение файла .htaccess" вместе с названием вашей CMS. В зависимости от вашего сайта, вы можете увидеть несколько файлов .htaccess . Составьте список всех расположений файлов .htaccess .
Шаг 2
Замените все файлы .htaccess на чистую или стандартную версию. Обычно стандартную версию файла .htaccess можно найти .htaccess выполнив поиск по запросу "стандартный файл .htaccess " и названию вашей CMS. Для сайтов с несколькими файлами .htaccess найдите чистую версию каждого из них и замените ими остальные.
Если стандартный файл .htaccess отсутствует, и вы никогда не настраивали файл .htaccess на своем сайте, то найденный вами файл .htaccess , вероятно, является вредоносным. Сохраните копию файла(ов) .htaccess в автономном режиме на всякий случай и удалите файл .htaccess со своего сайта.
Удаление всех вредоносных файлов и скриптов (4 шага)
Выявление вредоносных файлов может быть сложной и трудоемкой задачей. Не торопитесь при проверке файлов. Если вы еще этого не сделали, сейчас самое время создать резервную копию файлов вашего сайта. Выполните поиск в Google по запросу "резервное копирование сайта" и названию вашей CMS, чтобы найти инструкции по созданию резервной копии сайта.
Шаг 1
Если вы используете CMS, переустановите все основные (стандартные) файлы, входящие в стандартную дистрибуцию вашей CMS, а также все добавленные вами компоненты (например, темы, модули или плагины). Это поможет убедиться в отсутствии взломанных файлов. Вы можете выполнить поиск в Google по запросу «переустановка» и названию вашей CMS, чтобы найти инструкции по переустановке. Если у вас установлены какие-либо плагины, модули, расширения или темы, обязательно переустановите и их.
Шаг 2
Хакеры часто изменяют вашу карту сайта или добавляют новые, чтобы ускорить индексацию своих URL-адресов. Если у вас ранее был файл карты сайта, проверьте его на наличие подозрительных ссылок и удалите их. Если вы не помните, чтобы добавляли какие-либо файлы карты сайта, просмотрите их. Удалите файл, если он содержит только спам-ссылки.
Шаг 3
Проверьте наличие других вредоносных или скомпрометированных файлов. Возможно, вы уже удалили все вредоносные файлы на предыдущих двух шагах, но лучше выполнить следующие несколько шагов на случай, если на вашем сайте остались скомпрометированные файлы.
Не стоит пугаться мысли о том, что нужно открывать и просматривать каждый PHP-файл. Начните с составления списка подозрительных PHP-файлов, которые вы хотите исследовать. Вот несколько способов определить, какие PHP-файлы являются подозрительными:
- Если вы уже перезагрузили файлы вашей CMS, проверяйте только те файлы, которые не входят в стандартную папку или файлы CMS. Это позволит исключить множество PHP-файлов и оставить лишь несколько файлов для проверки.
- Отсортируйте файлы на вашем сайте по дате последнего изменения. Найдите файлы, которые были изменены в течение нескольких месяцев с момента обнаружения взлома вашего сайта.
- Отсортируйте файлы на вашем сайте по размеру. Найдите файлы необычно большого размера.
Шаг 4
Получив список подозрительных PHP-файлов, проверьте их на наличие вредоносного содержимого. Если вы не знакомы с PHP, этот процесс может занять больше времени, поэтому рекомендуется ознакомиться с документацией по PHP . Если вы совершенно новичок в программировании, мы рекомендуем обратиться к опытному разработчику. А пока есть несколько основных шаблонов, на которые можно обратить внимание для выявления вредоносных файлов.
Если вы используете CMS и не привыкли редактировать её PHP-файлы напрямую, сравните файлы на вашем сервере со списком стандартных файлов, поставляемых с CMS, плагинами и темами. Найдите файлы, которые не должны там находиться, а также файлы, размер которых превышает их стандартную версию.
Просмотрите уже обнаруженные подозрительные файлы на наличие блоков обфусцированного кода. Это может выглядеть как комбинация, казалось бы, перемешанных букв и цифр, обычно предваряемая комбинацией функций PHP, таких как base64_decode , rot13 , eval , strrev или gzinflate . Вот пример того, как может выглядеть блок кода. Иногда весь этот код будет сжат в одну длинную строку текста, из-за чего он будет казаться короче, чем есть на самом деле.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Проверьте, чист ли ваш сайт.
После того, как вы удалите взломанные файлы, проверьте, окупились ли ваши усилия. Помните те бессмысленные страницы, которые вы обнаружили ранее? Снова воспользуйтесь инструментом «Получить как Google», чтобы проверить, существуют ли они до сих пор.
Если в результатах поиска Google отображается сообщение "Не найдено", скорее всего, у вас всё в порядке, и вы можете перейти к устранению уязвимостей на вашем сайте.
Как предотвратить повторный взлом?
Устранение уязвимостей на вашем сайте — важный заключительный шаг для его восстановления. Недавнее исследование показало, что 20% взломанных сайтов подвергаются повторному взлому в течение одного дня. Точное знание того, как был взломан ваш сайт, очень полезно. Ознакомьтесь с нашим руководством по основным способам взлома сайтов спамерами, чтобы начать расследование. Если вы не можете выяснить, как был взломан ваш сайт, следуйте этому контрольному списку, чтобы уменьшить количество уязвимостей на вашем сайте.
- Регулярно сканируйте свой компьютер : используйте популярные антивирусные программы для проверки на наличие вирусов или уязвимостей.
- Регулярно меняйте пароли : Регулярная смена паролей ко всем учетным записям вашего сайта, таким как учетная запись хостинг-провайдера, FTP и CMS, может предотвратить несанкционированный доступ к вашему сайту. Важно создать надежный, уникальный пароль для каждой учетной записи.
- Используйте двухфакторную аутентификацию (2FA) : Рекомендуется включить 2FA для любого сервиса, требующего входа в систему. Это затруднит вход хакерам, даже если им удастся украсть ваш пароль.
- Регулярно обновляйте свою CMS, плагины, расширения и модули : надеюсь, вы уже это сделали. Многие сайты взламываются из-за использования устаревшего программного обеспечения. Некоторые CMS поддерживают автоматическое обновление.
- Рассмотрите возможность подписки на услуги службы безопасности для мониторинга вашего сайта : существует множество сервисов, которые могут помочь вам отслеживать ваш сайт за небольшую плату. Рассмотрите возможность регистрации в них, чтобы обеспечить безопасность вашего сайта.
Дополнительные ресурсы
Если у вас по-прежнему возникают проблемы с исправлением сайта, есть еще несколько ресурсов, которые могут вам помочь.
Эти инструменты сканируют ваш сайт и могут обнаружить проблемный контент. Помимо VirusTotal, Google их не использует и не поддерживает.
Это лишь некоторые инструменты, которые могут просканировать ваш сайт на наличие проблемного контента. Имейте в виду, что эти сканеры не могут гарантировать обнаружение каждого типа проблемного контента.
Вот дополнительные ресурсы от Google, которые могут вам помочь: