هک کلمه کلیدی ژاپنی را برطرف کنید

این راهنما برای نوعی هک است که متن ژاپنی خودکار را در سایت شما ایجاد می‌کند، که ما آن را هک کلمات کلیدی ژاپنی می‌نامیم. این راهنما برای کاربران سیستم‌های مدیریت محتوای محبوب (CMS) طراحی شده است، اما اگر سایت شما از CMS استفاده نمی‌کند، همچنان این راهنما را مفید خواهید یافت.

این نوع هک را شناسایی کنید

هک کلمات کلیدی ژاپنی معمولاً صفحات جدیدی با متن ژاپنی خودکار در سایت شما با نام‌های دایرکتوری تصادفی ایجاد می‌کند (برای مثال، http://example.com/ltjmnjp/341.html ). این صفحات با استفاده از لینک‌های وابسته به فروشگاه‌هایی که کالاهای برند جعلی می‌فروشند، کسب درآمد می‌کنند و سپس در جستجوی گوگل نشان داده می‌شوند. در اینجا مثالی از ظاهر یکی از این صفحات آورده شده است:

نمونه‌ای از صفحه‌ای با کلمه کلیدی هک ژاپنی.
صفحه‌ای از متن که توسط هک کلمه کلیدی ژاپنی تولید شده است.

در این نوع هک، هکر معمولاً خود را به عنوان مالک در کنسول جستجو اضافه می‌کند تا با دستکاری تنظیمات سایت شما مانند موقعیت جغرافیایی یا نقشه سایت، سود خود را افزایش دهد. اگر اعلانی دریافت کرده‌اید مبنی بر اینکه شخصی که نمی‌شناسید سایت شما را در کنسول جستجوی گوگل تأیید کرده است، احتمال زیادی وجود دارد که سایت شما هک شده باشد.

با بررسی ابزار Security Issues در کنسول جستجو شروع کنید تا ببینید آیا گوگل هیچ یک از این صفحات هک شده را در سایت شما کشف کرده است یا خیر. گاهی اوقات می‌توانید با باز کردن پنجره جستجوی گوگل و تایپ site:_your site url_ به همراه آدرس اینترنتی سطح ریشه سایت خود، صفحاتی مانند این را نیز کشف کنید. این کار صفحاتی را که گوگل برای سایت شما فهرست‌بندی کرده است، از جمله صفحات هک شده، به شما نشان می‌دهد. چند صفحه از نتایج جستجو را مرور کنید تا ببینید آیا آدرس اینترنتی غیرمعمولی مشاهده می‌کنید یا خیر. اگر هیچ محتوای هک شده‌ای را در جستجوی گوگل مشاهده نکردید، از همان عبارات جستجو با یک موتور جستجوی دیگر استفاده کنید. در اینجا مثالی از آنچه به نظر می‌رسد آمده است:

نمونه‌ای از یک سایت هک شده در جستجو.
صفحات هک شده در نتایج جستجوی گوگل نمایش داده می‌شوند.

معمولاً وقتی روی لینکی به یک صفحه هک شده کلیک می‌کنید، یا به سایت دیگری هدایت می‌شوید یا صفحه‌ای پر از محتوای نامفهوم را مشاهده می‌کنید. با این حال، ممکن است پیامی مبنی بر وجود نداشتن صفحه نیز مشاهده کنید (مثلاً خطای ۴۰۴). فریب نخورید! هکرها سعی می‌کنند شما را فریب دهند تا فکر کنید صفحه از بین رفته یا اصلاح شده است، در حالی که هنوز هک شده است. آنها این کار را با پنهان کردن محتوا انجام می‌دهند. با وارد کردن URL های سایت خود در ابزار بازرسی URL، پنهان کردن را بررسی کنید. این ابزار به شما امکان می‌دهد محتوای پنهان زیرین را ببینید.

اگر این مشکلات را مشاهده کردید، به احتمال زیاد سایت شما تحت تأثیر این نوع هک قرار گرفته است.

هک را برطرف کنید

قبل از شروع، قبل از حذف هر فایلی، یک کپی آفلاین از آن تهیه کنید تا در صورت نیاز بتوانید بعداً آن را بازیابی کنید. بهتر است قبل از شروع فرآیند پاکسازی، از کل سایت خود نسخه پشتیبان تهیه کنید. می‌توانید این کار را با ذخیره تمام فایل‌های موجود در سرور خود در مکانی خارج از سرور یا جستجوی بهترین گزینه‌های پشتیبان‌گیری برای سیستم مدیریت محتوای (CMS) خاص خود انجام دهید. اگر از CMS استفاده می‌کنید، از پایگاه داده نیز نسخه پشتیبان تهیه کنید.

حذف حساب‌های کاربری تازه ایجاد شده از سرچ کنسول

اگر مالک جدیدی که او را نمی‌شناسید به حساب کنسول جستجوی شما اضافه شده است، در اسرع وقت دسترسی او را لغو کنید. می‌توانید در صفحه تأیید کنسول جستجو ، بررسی کنید که کدام کاربران برای سایت شما تأیید شده‌اند. برای مشاهده همه کاربران تأیید شده، روی «جزئیات تأیید» کلیک کنید.

برای حذف مالک از کنسول جستجو، به بخش حذف مالک در مرکز راهنمای مدیریت کاربران، مالکان و مجوزها مراجعه کنید. شما باید توکن تأیید مرتبط را که معمولاً یک فایل HTML در ریشه سایت شما یا یک فایل .htaccess پویا است که از یک فایل HTML تقلید می‌کند، حذف کنید.

اگر نمی‌توانید توکن تأیید HTML را در سایت خود پیدا کنید، در فایل .htaccess خود به دنبال یک قانون بازنویسی بگردید. قانون بازنویسی چیزی شبیه به این خواهد بود:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

برای حذف توکن تأیید پویا ایجاد شده از فایل .htaccess خود، این مراحل را دنبال کنید:

فایل .htaccess خود را بررسی کنید (۲ مرحله)

گذشته از استفاده از فایل .htaccess برای ایجاد توکن‌های تأیید پویا، هکرها اغلب از قوانین .htaccess برای هدایت کاربران یا ایجاد صفحات اسپم نامفهوم استفاده می‌کنند. مگر اینکه قوانین .htaccess سفارشی داشته باشید، در غیر این صورت، جایگزین کردن .htaccess خود با یک نسخه کاملاً جدید را در نظر بگیرید.

مرحله ۱

فایل .htaccess خود را در سایت خود پیدا کنید. اگر مطمئن نیستید که کجا می‌توانید آن را پیدا کنید و از سیستم مدیریت محتوایی مانند وردپرس، جوملا یا دروپال استفاده می‌کنید، عبارت ".htaccess file location" را در موتور جستجو به همراه نام سیستم مدیریت محتوایی خود جستجو کنید. بسته به سایت شما، ممکن است چندین فایل .htaccess را مشاهده کنید. لیستی از تمام مکان‌های فایل .htaccess تهیه کنید.

مرحله ۲

تمام فایل‌های .htaccess را با یک نسخه پاک یا پیش‌فرض از فایل .htaccess جایگزین کنید. معمولاً می‌توانید با جستجوی عبارت "default .htaccess file" و نام CMS خود، نسخه پیش‌فرض فایل .htaccess را پیدا کنید. برای سایت‌هایی که چندین فایل .htaccess دارند، یک نسخه پاک از هر کدام پیدا کنید و آنها را جایگزین کنید.

اگر .htaccess پیش‌فرضی وجود ندارد و شما هرگز فایل .htaccess را در سایت خود پیکربندی نکرده‌اید، احتمالاً فایل .htaccess موجود در سایت شما مخرب است. یک کپی از فایل (های) .htaccess را به صورت آفلاین ذخیره کنید و فایل .htaccess را از سایت خود حذف کنید.

حذف تمام فایل‌ها و اسکریپت‌های مخرب (۴ مرحله)

شناسایی فایل‌های مخرب می‌تواند دشوار و زمان‌بر باشد. برای بررسی فایل‌های خود وقت بگذارید. اگر هنوز این کار را نکرده‌اید، الان زمان خوبی برای پشتیبان‌گیری از فایل‌های سایت شماست. برای یافتن دستورالعمل‌های پشتیبان‌گیری از سایت خود، عبارت "backup site" و نام سیستم مدیریت محتوای خود را در گوگل جستجو کنید.

مرحله ۱

اگر از سیستم مدیریت محتوا (CMS) استفاده می‌کنید، تمام فایل‌های اصلی (پیش‌فرض) که در توزیع پیش‌فرض CMS شما وجود دارند، و همچنین هر چیزی که اضافه کرده‌اید (مانند قالب‌ها، ماژول‌ها یا افزونه‌ها) را دوباره نصب کنید. این کار به شما کمک می‌کند تا مطمئن شوید که این فایل‌ها عاری از محتوای هک شده هستند. می‌توانید برای یافتن دستورالعمل‌های نصب مجدد، عبارت "reinstall" و نام CMS خود را در گوگل جستجو کنید. اگر افزونه، ماژول، افزونه یا قالبی دارید، حتماً آنها را نیز دوباره نصب کنید.

مرحله ۲

هکرها اغلب نقشه سایت شما را تغییر می‌دهند یا نقشه‌های سایت جدیدی اضافه می‌کنند تا آدرس‌های اینترنتی‌شان سریع‌تر ایندکس شود. اگر قبلاً فایل نقشه سایت داشته‌اید، فایل را از نظر وجود لینک‌های مشکوک بررسی کنید و آنها را حذف کنید. اگر فایل نقشه سایتی وجود دارد که به خاطر نمی‌آورید به سایت خود اضافه کرده‌اید، فایل را بررسی کنید. اگر فقط حاوی آدرس‌های اینترنتی اسپم است، فایل را حذف کنید.

مرحله ۳

به دنبال فایل‌های مخرب یا آلوده دیگر باشید. ممکن است در دو مرحله قبلی تمام فایل‌های مخرب را حذف کرده باشید، اما بهتر است مراحل بعدی را نیز انجام دهید تا در صورت وجود فایل‌های آلوده بیشتر در سایت خود، بتوانید آنها را حذف کنید.

با این فکر که باید تک تک فایل‌های PHP را باز کرده و بررسی کنید، خودتان را غرق در این فکر نکنید. با ایجاد لیستی از فایل‌های PHP مشکوک که می‌خواهید بررسی کنید، شروع کنید. در اینجا چند روش برای تعیین اینکه کدام فایل‌های PHP مشکوک هستند، آورده شده است:

  • اگر قبلاً فایل‌های CMS خود را دوباره بارگذاری کرده‌اید، فقط به فایل‌هایی نگاه کنید که جزئی از فایل‌ها یا پوشه‌های پیش‌فرض CMS شما نیستند. این کار باید بسیاری از فایل‌های PHP را حذف کند و تعداد انگشت‌شماری فایل برای بررسی در اختیار شما قرار دهد.
  • فایل‌های سایت خود را بر اساس تاریخ آخرین تغییر مرتب کنید. به دنبال فایل‌هایی باشید که ظرف چند ماه از زمانی که برای اولین بار متوجه هک شدن سایت خود شدید، تغییر یافته‌اند.
  • فایل‌های سایت خود را بر اساس اندازه مرتب کنید. به دنبال فایل‌های با حجم غیرمعمول باشید.

مرحله ۴

وقتی فهرستی از فایل‌های مشکوک PHP تهیه کردید، آنها را از نظر محتوای مخرب بررسی کنید. اگر با PHP آشنا نیستید، این فرآیند ممکن است زمان بیشتری ببرد، بنابراین مطالعه‌ی مستندات PHP را در نظر بگیرید. اگر کاملاً در کدنویسی تازه‌کار هستید، توصیه می‌کنیم با یک توسعه‌دهنده‌ی باتجربه صحبت کنید. در عین حال، چند الگوی اساسی وجود دارد که می‌توانید برای شناسایی فایل‌های مخرب به دنبال آنها باشید.

اگر از سیستم مدیریت محتوا (CMS) استفاده می‌کنید و عادت ندارید فایل‌های PHP آن را مستقیماً ویرایش کنید، فایل‌های موجود در سرور خود را با لیستی از فایل‌های پیش‌فرض موجود در CMS و هرگونه افزونه و قالب مقایسه کنید. به دنبال فایل‌هایی باشید که به آن سیستم تعلق ندارند، و همچنین فایل‌هایی که از نسخه پیش‌فرض خود بزرگتر هستند.

فایل‌های مشکوکی که قبلاً شناسایی کرده‌اید را بررسی کنید تا بلوک‌های کد مبهم را پیدا کنید. این بلوک‌ها ممکن است ترکیبی از حروف و اعداد به ظاهر درهم و برهم باشند که معمولاً قبل از آنها ترکیبی از توابع PHP مانند base64_decode ، rot13 ، eval ، strrev یا gzinflate آمده است. در اینجا مثالی از بلوک کد آورده شده است. گاهی اوقات تمام این کد در یک خط متن طولانی قرار می‌گیرد و باعث می‌شود کوچکتر از آنچه در واقع است به نظر برسد.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

بررسی کنید که آیا سایت شما تمیز است یا خیر

وقتی از شر فایل‌های هک شده خلاص شدید، بررسی کنید که آیا زحماتتان نتیجه داده است یا خیر. آن صفحات نامفهومی را که قبلاً شناسایی کردید، به خاطر دارید؟ دوباره از ابزار Fetch as Google روی آنها استفاده کنید تا ببینید آیا هنوز وجود دارند یا خیر.

اگر در Fetch as Google پاسخ «یافت نشد» دریافت کردند، احتمالاً سایت شما در وضعیت خوبی قرار دارد و می‌توانید به رفع آسیب‌پذیری‌های سایت خود بپردازید.

چگونه از هک شدن مجدد جلوگیری کنم؟

رفع آسیب‌پذیری‌های سایت شما، آخرین گام ضروری برای رفع مشکلات سایت شماست. یک مطالعه اخیر نشان داده است که 20٪ از سایت‌های هک شده، ظرف یک روز دوباره هک می‌شوند. دانستن دقیق نحوه هک شدن سایت شما مفید است. برای شروع تحقیقات خود، راهنمای روش‌های برتر هک شدن وب‌سایت‌ها توسط اسپمرها را مطالعه کنید. اگر نمی‌توانید بفهمید سایت شما چگونه هک شده است، این چک لیست را برای کاهش آسیب‌پذیری‌های سایت خود دنبال کنید.

  • مرتباً رایانه خود را اسکن کنید : از نرم‌افزارهای آنتی‌ویروس محبوب برای بررسی ویروس‌ها یا آسیب‌پذیری‌ها استفاده کنید.
  • رمزهای عبور خود را مرتباً تغییر دهید : تغییر منظم رمزهای عبور تمام حساب‌های وب‌سایت شما مانند ارائه‌دهنده میزبانی وب، FTP و CMS می‌تواند از دسترسی غیرمجاز به سایت شما جلوگیری کند. ایجاد یک رمز عبور قوی و منحصر به فرد برای هر حساب کاربری بسیار مهم است.
  • از احراز هویت دو مرحله‌ای (2FA) استفاده کنید : فعال کردن 2FA را در هر سرویسی که نیاز به ورود به سیستم دارد، در نظر بگیرید. این کار ورود هکرها را حتی اگر با موفقیت رمز عبور شما را بدزدند، دشوارتر می‌کند.
  • سیستم مدیریت محتوا، افزونه‌ها، اکستنشن‌ها و ماژول‌های خود را مرتباً به‌روزرسانی کنید : امیدواریم که این مرحله را انجام داده باشید. بسیاری از سایت‌ها به دلیل استفاده از نرم‌افزارهای قدیمی هک می‌شوند. برخی از سیستم‌های مدیریت محتوا از به‌روزرسانی خودکار پشتیبانی می‌کنند.
  • برای نظارت بر سایت خود، در یک سرویس امنیتی مشترک شوید : سرویس‌های زیادی وجود دارند که می‌توانند با هزینه‌ای اندک به شما در نظارت بر سایتتان کمک کنند. برای ایمن نگه داشتن سایت خود، ثبت نام در آنها را در نظر بگیرید.

منابع اضافی

اگر هنوز در رفع مشکلات سایت خود مشکل دارید، چند منبع دیگر وجود دارد که ممکن است به شما کمک کند.

این ابزارها سایت شما را اسکن می‌کنند و ممکن است بتوانند محتوای مشکل‌دار را پیدا کنند. به غیر از VirusTotal، گوگل آنها را اجرا یا پشتیبانی نمی‌کند.

اینها فقط برخی از ابزارهایی هستند که ممکن است بتوانند سایت شما را برای محتوای مشکل‌ساز اسکن کنند. به خاطر داشته باشید که این اسکنرها نمی‌توانند تضمین کنند که هر نوع محتوای مشکل‌ساز را شناسایی می‌کنند.

در اینجا منابع اضافی از گوگل وجود دارد که می‌توانند به شما کمک کنند: