این راهنما برای نوعی هک است که متن ژاپنی خودکار را در سایت شما ایجاد میکند، که ما آن را هک کلمات کلیدی ژاپنی مینامیم. این راهنما برای کاربران سیستمهای مدیریت محتوای محبوب (CMS) طراحی شده است، اما اگر سایت شما از CMS استفاده نمیکند، همچنان این راهنما را مفید خواهید یافت.
این نوع هک را شناسایی کنید
هک کلمات کلیدی ژاپنی معمولاً صفحات جدیدی با متن ژاپنی خودکار در سایت شما با نامهای دایرکتوری تصادفی ایجاد میکند (برای مثال، http://example.com/ltjmnjp/341.html ). این صفحات با استفاده از لینکهای وابسته به فروشگاههایی که کالاهای برند جعلی میفروشند، کسب درآمد میکنند و سپس در جستجوی گوگل نشان داده میشوند. در اینجا مثالی از ظاهر یکی از این صفحات آورده شده است:

در این نوع هک، هکر معمولاً خود را به عنوان مالک در کنسول جستجو اضافه میکند تا با دستکاری تنظیمات سایت شما مانند موقعیت جغرافیایی یا نقشه سایت، سود خود را افزایش دهد. اگر اعلانی دریافت کردهاید مبنی بر اینکه شخصی که نمیشناسید سایت شما را در کنسول جستجوی گوگل تأیید کرده است، احتمال زیادی وجود دارد که سایت شما هک شده باشد.
با بررسی ابزار Security Issues در کنسول جستجو شروع کنید تا ببینید آیا گوگل هیچ یک از این صفحات هک شده را در سایت شما کشف کرده است یا خیر. گاهی اوقات میتوانید با باز کردن پنجره جستجوی گوگل و تایپ site:_your site url_ به همراه آدرس اینترنتی سطح ریشه سایت خود، صفحاتی مانند این را نیز کشف کنید. این کار صفحاتی را که گوگل برای سایت شما فهرستبندی کرده است، از جمله صفحات هک شده، به شما نشان میدهد. چند صفحه از نتایج جستجو را مرور کنید تا ببینید آیا آدرس اینترنتی غیرمعمولی مشاهده میکنید یا خیر. اگر هیچ محتوای هک شدهای را در جستجوی گوگل مشاهده نکردید، از همان عبارات جستجو با یک موتور جستجوی دیگر استفاده کنید. در اینجا مثالی از آنچه به نظر میرسد آمده است:

معمولاً وقتی روی لینکی به یک صفحه هک شده کلیک میکنید، یا به سایت دیگری هدایت میشوید یا صفحهای پر از محتوای نامفهوم را مشاهده میکنید. با این حال، ممکن است پیامی مبنی بر وجود نداشتن صفحه نیز مشاهده کنید (مثلاً خطای ۴۰۴). فریب نخورید! هکرها سعی میکنند شما را فریب دهند تا فکر کنید صفحه از بین رفته یا اصلاح شده است، در حالی که هنوز هک شده است. آنها این کار را با پنهان کردن محتوا انجام میدهند. با وارد کردن URL های سایت خود در ابزار بازرسی URL، پنهان کردن را بررسی کنید. این ابزار به شما امکان میدهد محتوای پنهان زیرین را ببینید.
اگر این مشکلات را مشاهده کردید، به احتمال زیاد سایت شما تحت تأثیر این نوع هک قرار گرفته است.
هک را برطرف کنید
قبل از شروع، قبل از حذف هر فایلی، یک کپی آفلاین از آن تهیه کنید تا در صورت نیاز بتوانید بعداً آن را بازیابی کنید. بهتر است قبل از شروع فرآیند پاکسازی، از کل سایت خود نسخه پشتیبان تهیه کنید. میتوانید این کار را با ذخیره تمام فایلهای موجود در سرور خود در مکانی خارج از سرور یا جستجوی بهترین گزینههای پشتیبانگیری برای سیستم مدیریت محتوای (CMS) خاص خود انجام دهید. اگر از CMS استفاده میکنید، از پایگاه داده نیز نسخه پشتیبان تهیه کنید.
حذف حسابهای کاربری تازه ایجاد شده از سرچ کنسول
اگر مالک جدیدی که او را نمیشناسید به حساب کنسول جستجوی شما اضافه شده است، در اسرع وقت دسترسی او را لغو کنید. میتوانید در صفحه تأیید کنسول جستجو ، بررسی کنید که کدام کاربران برای سایت شما تأیید شدهاند. برای مشاهده همه کاربران تأیید شده، روی «جزئیات تأیید» کلیک کنید.
برای حذف مالک از کنسول جستجو، به بخش حذف مالک در مرکز راهنمای مدیریت کاربران، مالکان و مجوزها مراجعه کنید. شما باید توکن تأیید مرتبط را که معمولاً یک فایل HTML در ریشه سایت شما یا یک فایل .htaccess پویا است که از یک فایل HTML تقلید میکند، حذف کنید.
اگر نمیتوانید توکن تأیید HTML را در سایت خود پیدا کنید، در فایل .htaccess خود به دنبال یک قانون بازنویسی بگردید. قانون بازنویسی چیزی شبیه به این خواهد بود:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
برای حذف توکن تأیید پویا ایجاد شده از فایل .htaccess خود، این مراحل را دنبال کنید:
فایل .htaccess خود را بررسی کنید (۲ مرحله)
گذشته از استفاده از فایل .htaccess برای ایجاد توکنهای تأیید پویا، هکرها اغلب از قوانین .htaccess برای هدایت کاربران یا ایجاد صفحات اسپم نامفهوم استفاده میکنند. مگر اینکه قوانین .htaccess سفارشی داشته باشید، در غیر این صورت، جایگزین کردن .htaccess خود با یک نسخه کاملاً جدید را در نظر بگیرید.
مرحله ۱
فایل .htaccess خود را در سایت خود پیدا کنید. اگر مطمئن نیستید که کجا میتوانید آن را پیدا کنید و از سیستم مدیریت محتوایی مانند وردپرس، جوملا یا دروپال استفاده میکنید، عبارت ".htaccess file location" را در موتور جستجو به همراه نام سیستم مدیریت محتوایی خود جستجو کنید. بسته به سایت شما، ممکن است چندین فایل .htaccess را مشاهده کنید. لیستی از تمام مکانهای فایل .htaccess تهیه کنید.
مرحله ۲
تمام فایلهای .htaccess را با یک نسخه پاک یا پیشفرض از فایل .htaccess جایگزین کنید. معمولاً میتوانید با جستجوی عبارت "default .htaccess file" و نام CMS خود، نسخه پیشفرض فایل .htaccess را پیدا کنید. برای سایتهایی که چندین فایل .htaccess دارند، یک نسخه پاک از هر کدام پیدا کنید و آنها را جایگزین کنید.
اگر .htaccess پیشفرضی وجود ندارد و شما هرگز فایل .htaccess را در سایت خود پیکربندی نکردهاید، احتمالاً فایل .htaccess موجود در سایت شما مخرب است. یک کپی از فایل (های) .htaccess را به صورت آفلاین ذخیره کنید و فایل .htaccess را از سایت خود حذف کنید.
حذف تمام فایلها و اسکریپتهای مخرب (۴ مرحله)
شناسایی فایلهای مخرب میتواند دشوار و زمانبر باشد. برای بررسی فایلهای خود وقت بگذارید. اگر هنوز این کار را نکردهاید، الان زمان خوبی برای پشتیبانگیری از فایلهای سایت شماست. برای یافتن دستورالعملهای پشتیبانگیری از سایت خود، عبارت "backup site" و نام سیستم مدیریت محتوای خود را در گوگل جستجو کنید.
مرحله ۱
اگر از سیستم مدیریت محتوا (CMS) استفاده میکنید، تمام فایلهای اصلی (پیشفرض) که در توزیع پیشفرض CMS شما وجود دارند، و همچنین هر چیزی که اضافه کردهاید (مانند قالبها، ماژولها یا افزونهها) را دوباره نصب کنید. این کار به شما کمک میکند تا مطمئن شوید که این فایلها عاری از محتوای هک شده هستند. میتوانید برای یافتن دستورالعملهای نصب مجدد، عبارت "reinstall" و نام CMS خود را در گوگل جستجو کنید. اگر افزونه، ماژول، افزونه یا قالبی دارید، حتماً آنها را نیز دوباره نصب کنید.
مرحله ۲
هکرها اغلب نقشه سایت شما را تغییر میدهند یا نقشههای سایت جدیدی اضافه میکنند تا آدرسهای اینترنتیشان سریعتر ایندکس شود. اگر قبلاً فایل نقشه سایت داشتهاید، فایل را از نظر وجود لینکهای مشکوک بررسی کنید و آنها را حذف کنید. اگر فایل نقشه سایتی وجود دارد که به خاطر نمیآورید به سایت خود اضافه کردهاید، فایل را بررسی کنید. اگر فقط حاوی آدرسهای اینترنتی اسپم است، فایل را حذف کنید.
مرحله ۳
به دنبال فایلهای مخرب یا آلوده دیگر باشید. ممکن است در دو مرحله قبلی تمام فایلهای مخرب را حذف کرده باشید، اما بهتر است مراحل بعدی را نیز انجام دهید تا در صورت وجود فایلهای آلوده بیشتر در سایت خود، بتوانید آنها را حذف کنید.
با این فکر که باید تک تک فایلهای PHP را باز کرده و بررسی کنید، خودتان را غرق در این فکر نکنید. با ایجاد لیستی از فایلهای PHP مشکوک که میخواهید بررسی کنید، شروع کنید. در اینجا چند روش برای تعیین اینکه کدام فایلهای PHP مشکوک هستند، آورده شده است:
- اگر قبلاً فایلهای CMS خود را دوباره بارگذاری کردهاید، فقط به فایلهایی نگاه کنید که جزئی از فایلها یا پوشههای پیشفرض CMS شما نیستند. این کار باید بسیاری از فایلهای PHP را حذف کند و تعداد انگشتشماری فایل برای بررسی در اختیار شما قرار دهد.
- فایلهای سایت خود را بر اساس تاریخ آخرین تغییر مرتب کنید. به دنبال فایلهایی باشید که ظرف چند ماه از زمانی که برای اولین بار متوجه هک شدن سایت خود شدید، تغییر یافتهاند.
- فایلهای سایت خود را بر اساس اندازه مرتب کنید. به دنبال فایلهای با حجم غیرمعمول باشید.
مرحله ۴
وقتی فهرستی از فایلهای مشکوک PHP تهیه کردید، آنها را از نظر محتوای مخرب بررسی کنید. اگر با PHP آشنا نیستید، این فرآیند ممکن است زمان بیشتری ببرد، بنابراین مطالعهی مستندات PHP را در نظر بگیرید. اگر کاملاً در کدنویسی تازهکار هستید، توصیه میکنیم با یک توسعهدهندهی باتجربه صحبت کنید. در عین حال، چند الگوی اساسی وجود دارد که میتوانید برای شناسایی فایلهای مخرب به دنبال آنها باشید.
اگر از سیستم مدیریت محتوا (CMS) استفاده میکنید و عادت ندارید فایلهای PHP آن را مستقیماً ویرایش کنید، فایلهای موجود در سرور خود را با لیستی از فایلهای پیشفرض موجود در CMS و هرگونه افزونه و قالب مقایسه کنید. به دنبال فایلهایی باشید که به آن سیستم تعلق ندارند، و همچنین فایلهایی که از نسخه پیشفرض خود بزرگتر هستند.
فایلهای مشکوکی که قبلاً شناسایی کردهاید را بررسی کنید تا بلوکهای کد مبهم را پیدا کنید. این بلوکها ممکن است ترکیبی از حروف و اعداد به ظاهر درهم و برهم باشند که معمولاً قبل از آنها ترکیبی از توابع PHP مانند base64_decode ، rot13 ، eval ، strrev یا gzinflate آمده است. در اینجا مثالی از بلوک کد آورده شده است. گاهی اوقات تمام این کد در یک خط متن طولانی قرار میگیرد و باعث میشود کوچکتر از آنچه در واقع است به نظر برسد.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
بررسی کنید که آیا سایت شما تمیز است یا خیر
وقتی از شر فایلهای هک شده خلاص شدید، بررسی کنید که آیا زحماتتان نتیجه داده است یا خیر. آن صفحات نامفهومی را که قبلاً شناسایی کردید، به خاطر دارید؟ دوباره از ابزار Fetch as Google روی آنها استفاده کنید تا ببینید آیا هنوز وجود دارند یا خیر.
اگر در Fetch as Google پاسخ «یافت نشد» دریافت کردند، احتمالاً سایت شما در وضعیت خوبی قرار دارد و میتوانید به رفع آسیبپذیریهای سایت خود بپردازید.
چگونه از هک شدن مجدد جلوگیری کنم؟
رفع آسیبپذیریهای سایت شما، آخرین گام ضروری برای رفع مشکلات سایت شماست. یک مطالعه اخیر نشان داده است که 20٪ از سایتهای هک شده، ظرف یک روز دوباره هک میشوند. دانستن دقیق نحوه هک شدن سایت شما مفید است. برای شروع تحقیقات خود، راهنمای روشهای برتر هک شدن وبسایتها توسط اسپمرها را مطالعه کنید. اگر نمیتوانید بفهمید سایت شما چگونه هک شده است، این چک لیست را برای کاهش آسیبپذیریهای سایت خود دنبال کنید.
- مرتباً رایانه خود را اسکن کنید : از نرمافزارهای آنتیویروس محبوب برای بررسی ویروسها یا آسیبپذیریها استفاده کنید.
- رمزهای عبور خود را مرتباً تغییر دهید : تغییر منظم رمزهای عبور تمام حسابهای وبسایت شما مانند ارائهدهنده میزبانی وب، FTP و CMS میتواند از دسترسی غیرمجاز به سایت شما جلوگیری کند. ایجاد یک رمز عبور قوی و منحصر به فرد برای هر حساب کاربری بسیار مهم است.
- از احراز هویت دو مرحلهای (2FA) استفاده کنید : فعال کردن 2FA را در هر سرویسی که نیاز به ورود به سیستم دارد، در نظر بگیرید. این کار ورود هکرها را حتی اگر با موفقیت رمز عبور شما را بدزدند، دشوارتر میکند.
- سیستم مدیریت محتوا، افزونهها، اکستنشنها و ماژولهای خود را مرتباً بهروزرسانی کنید : امیدواریم که این مرحله را انجام داده باشید. بسیاری از سایتها به دلیل استفاده از نرمافزارهای قدیمی هک میشوند. برخی از سیستمهای مدیریت محتوا از بهروزرسانی خودکار پشتیبانی میکنند.
- برای نظارت بر سایت خود، در یک سرویس امنیتی مشترک شوید : سرویسهای زیادی وجود دارند که میتوانند با هزینهای اندک به شما در نظارت بر سایتتان کمک کنند. برای ایمن نگه داشتن سایت خود، ثبت نام در آنها را در نظر بگیرید.
منابع اضافی
اگر هنوز در رفع مشکلات سایت خود مشکل دارید، چند منبع دیگر وجود دارد که ممکن است به شما کمک کند.
این ابزارها سایت شما را اسکن میکنند و ممکن است بتوانند محتوای مشکلدار را پیدا کنند. به غیر از VirusTotal، گوگل آنها را اجرا یا پشتیبانی نمیکند.
اینها فقط برخی از ابزارهایی هستند که ممکن است بتوانند سایت شما را برای محتوای مشکلساز اسکن کنند. به خاطر داشته باشید که این اسکنرها نمیتوانند تضمین کنند که هر نوع محتوای مشکلساز را شناسایی میکنند.
در اینجا منابع اضافی از گوگل وجود دارد که میتوانند به شما کمک کنند: