דף זה תורגם על ידי Cloud Translation API.

תיקון הפריצה למילת מפתח ביפנית

המדריך הזה נוצר במיוחד לסוג פריצה שיוצרת באתר טקסט ביפנית באופן אוטומטי. נתייחס אליו בתור פריצה למילת מפתח ביפנית. המדריך מיועד למשתמשים במערכות ניהול תוכן (CMS) פופולריות, אבל הוא יועיל לכם גם אם אתם לא משתמשים במערכת ניהול תוכן.

אנחנו רוצים לוודא שהמדריך הזה באמת יועיל לך. נשמח לקבל ממך משוב כדי לעזור לנו להשתפר!

זיהוי סוג הפריצה הזה

הפריצה למילות מפתח ביפנית בדרך כלל יוצרת דפים חדשים באתר שלכם, עם טקסט ביפנית שנוצר באופן אוטומטי, בשמות ספריות שנוצרים באופן אקראי (לדוגמה, http://example.com/ltjmnjp/341.html). הדפים האלה מייצרים הכנסות באמצעות קישורים של שותפים עצמאיים לחנויות שמוכרות פריטי מרצ'נדייז מזויפים של מותגים, ואז הם מוצגים בחיפוש Google. הנה דוגמה לאופן שבו נראה אחד מהדפים האלה:

דוגמה לדף עם פריצה למילת המפתח ביפנית. — דף של טקסט שנוצר על ידי פריצה למילת מפתח ביפנית.

בפריצה מסוג כזה, ההאקר יוסיף את עצמו בדרך כלל כבעלים של נכס ב-Search Console, כדי להגדיל את הרווחים על ידי שינוי הגדרות האתר כמו טירגוט גיאוגרפי או קובצי sitemap. אם קיבלתם הודעה על כך שמישהו שאינכם מכירים ביצע את האימות של האתר ב-Search Console, קיימת סבירות גבוהה שהאתר נפרץ.

בתור התחלה, כדאי לבדוק את הכלי בעיות אבטחה ב-Search Console כדי לראות אם Google גילתה דפים שנפרצו באתר. לפעמים אפשר גם לגלות דפים כאלה על ידי פתיחת חלון של חיפוש Google ומקלידים site:_your site url_, עם כתובת ה-URL ברמה הבסיסית של האתר. יוצגו הדפים ש-Google הוסיפה לאינדקס של האתר שלכם, כולל הדפים שנפרצו. עבור בין כמה דפים של תוצאות חיפוש כדי לראות אם אתה מזהה כתובות אתרים חריגות. אם אינך רואה תוכן שנפרץ בחיפוש Google, השתמש באותם מונחי חיפוש במנוע חיפוש אחר. הנה דוגמה לזה:

דוגמה לאתר פרוץ בחיפוש. — הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשלוחצים על קישור לדף פרוץ, תופנו לאתר אחר או שתראו דף שמלא בתוכן בג'יבריש. עם זאת, יכול להיות שגם תופיע הודעה שמציינת שהדף לא קיים (לדוגמה, שגיאה 404). אל תיפול בפח! האקרים ינסו לגרום לכם לחשוב שהדף נעלם או תוקן כשהוא עדיין פרוץ. הם עושים זאת על ידי הסוואה של תוכן. כדי לבדוק אם יש הסוואה, צריך להזין את כתובות ה-URL של האתר בכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לך לראות את התוכן המוסתר המקורי.

אם נתקלתם בבעיות האלה, סביר להניח שהאתר שלכם הושפע מפריצה מסוג זה.

תיקון הפריצה

לפני שמתחילים, כדאי ליצור עותק של קבצים במצב אופליין לפני שמסירים אותם, למקרה שתצטרכו לשחזר אותם מאוחר יותר. יתר על כן, מגבים את כל האתר לפני שתתחילו את תהליך הניקוי. כדי לעשות זאת, אפשר לשמור את כל הקבצים שנמצאים בשרת במיקום מחוץ לשרת שלכם, או לחפש את אפשרויות הגיבוי הטובות ביותר למערכת ניהול התוכן (CMS) הספציפית שלכם. אם אתם משתמשים במערכת ניהול תוכן, יש לגבות גם את מסד הנתונים.

הסרת חשבונות חדשים שנוצרו מ-Search Console

אם בעלים חדש שאתם לא מזהים נוסף לחשבון Search Console, צריך לבטל את הגישה שלו בהקדם האפשרי. אפשר לבדוק אילו משתמשים מאומתים באתר שלכם בדף האימות של Search Console. כדי להציג את כל המשתמשים המאומתים יש ללחוץ על 'פרטי אימות' של האתר.

כדי להסיר בעלים מ-Search Console, עיינו בקטע 'הסרת בעלים' במרכז העזרה בנושא ניהול משתמשים, בעלים והרשאות. תצטרכו להסיר את אסימון האימות המשויך, שהוא בדרך כלל קובץ HTML ברמה הבסיסית (root) של האתר או קובץ .htaccess שנוצר באופן דינמי ושמחקה קובץ HTML.

אם לא הצלחתם למצוא אסימון לאימות HTML באתר, חפשו כלל לשכתוב בקובץ .htaccess. כלל השכתוב ייראה כך:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

בדרך כלל אפשר לבדוק אם הסרת אסימון אימות שנוצר באופן דינמי על ידי מעבר לקובץ הדמיה של אסימון אימות כמו wwww.example.com/google[random number and letters].html. לדוגמה, אם כתובת האתר שלך היא www.brandonsbaseballcards.com, אפשר לנסות לנווט לכתובת www.brandonsbaseballcards.com/google1234.html. אם הדף מחזיר קוד HTTP 404, אז סביר להניח שאסימון האימות שנוצר באופן דינמי יתוקן.

כדי להסיר את אסימון האימות שנוצר באופן דינמי מהקובץ .htaccess, בצעו את השלבים הבאים:

בדיקת הקובץ `.htaccess` (שני שלבים)

מלבד השימוש בקובץ .htaccess כדי ליצור אסימוני אימות שנוצרים באופן דינמי, האקרים משתמשים בדרך כלל בכללי .htaccess כדי להפנות משתמשים או ליצור דפי ספאם בג'יבריש. אלא אם יש לכם כללי .htaccess מותאמים אישית, כדאי להחליף את .htaccess בעותק חדש לגמרי.

שלב 1

צריך לאתר את הקובץ .htaccess באתר. אם אתם לא יודעים איפה למצוא את המידע, ואתם משתמשים במערכת ניהול תוכן כמו WordPress, Joomla או Drupal, תוכלו לחפש את המיקום ".htaccess file location" במנוע החיפוש יחד עם שם מערכת ניהול התוכן שלכם. בהתאם לאתר שלכם, ייתכן שתראו כמה קבצים של .htaccess. רשימה של כל מיקומי הקבצים ב-.htaccess.

הערה: בדרך כלל, השדה .htaccess הוא 'קובץ מוסתר'. חשוב להפעיל את האפשרות להציג קבצים מוסתרים בזמן החיפוש.

שלב 2

מחליפים את כל הקבצים .htaccess בגרסה נקייה או בגרסת ברירת מחדל של הקובץ .htaccess. בדרך כלל אפשר למצוא גרסת ברירת מחדל של קובץ .htaccess על ידי חיפוש 'קובץ .htaccess ברירת מחדל' ושם המערכת לניהול תוכן. באתרים עם מספר קובצי .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולהחליף אותם.

אם לא קיים .htaccess ברירת מחדל ומעולם לא הגדרתם קובץ .htaccess באתר, כנראה שהקובץ .htaccess שמצאתם באתר הוא זדוני. אתם יכולים לשמור עותק של .htaccess הקבצים במצב אופליין למקרה הצורך, ולמחוק את הקובץ .htaccess מהאתר.

הסרת כל הקבצים והסקריפטים הזדוניים (4 שלבים)

הזיהוי של קבצים זדוניים עשוי להיות משימה מורכבת שגוזלת זמן רב. חשוב לקחת את הזמן כשבודקים את הקבצים. אם עדיין לא עשיתם זאת, זה הזמן לגבות את הקבצים באתר. חפשו ב-Google את הביטוי "אתר לגיבוי" ואת שם מערכת ניהול התוכן שלכם כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, עליכם להתקין מחדש את כל קובצי הליבה (ברירת המחדל) שכלולים בהתפלגות ברירת המחדל של מערכת ניהול התוכן, יחד עם כל הפריטים שהוספתם (כמו עיצובים, מודולים או יישומי פלאגין). כך אפשר לוודא שהקבצים האלה נקיים מתוכן פרוץ. תוכלו לחפש ב-Google את "reinstall" ואת שם ה-CMS שלכם כדי למצוא הוראות להתקנה מחדש. אם יש לכם יישומי פלאגין, מודולים, תוספים או עיצובים, הקפידו להתקין גם אותם מחדש.

שלב 2

האקרים משנים לעיתים קרובות את ה-sitemap או מוסיפים קובצי sitemap חדשים כדי לעזור להוסיף את כתובות ה-URL שלהם לאינדקס במהירות רבה יותר. אם היה לכם בעבר קובץ sitemap, בדקו אם יש בו קישורים חשודים והסירו אותם מה-sitemap. אם יש קובצי sitemap שלא זוכרים שהוספת לאתר, כדאי לבדוק אותם שוב ולהסיר אותם אם הם מכילים רק כתובות URL ספאמיות.

שלב 3

מחפשים קבצים זדוניים אחרים או קבצים שנפרצו. יכול להיות שכבר הסרתם את כל הקבצים הזדוניים בשני השלבים הקודמים, אבל עדיף לבצע את השלבים הבאים במקרה שיש עוד קבצים באתר שנפרצו.

אל תתבלבלו אם תחשבו שאתם צריכים לפתוח כל קובץ PHP ולחפש אותו. בשלב הראשון יוצרים רשימה של קובצי PHP חשודים שרוצים לחקור. לפניכם כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

אם כבר טענתם מחדש את הקבצים של מערכת ניהול התוכן, צריך לבדוק רק קבצים שהם לא חלק מהקבצים או מהתיקיות שמוגדרים כברירת מחדל במערכת ניהול התוכן. הפעולה הזו אמורה לשלול קובצי PHP רבים, ולהשאיר מספר קטן של קבצים לבדוק.
ממיינים את הקבצים באתר לפי תאריך השינוי האחרון שלהם. חפשו קבצים ששונו כמה חודשים מהרגע שבו גיליתם שהאתר נפרץ.
ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים באופן חריג.

הערה: תוקפים בדרך כלל מחדירים סקריפטים לקבצים הבאים: index.php, wp-load.php, 404.php ו-view.php.

שלב 4

לאחר שיוצרים רשימה של קובצי PHP חשודים, צריך לבדוק אותם כדי לאתר תוכן זדוני. אם אתם לא מכירים את PHP, התהליך הזה עשוי להימשך יותר זמן, לכן כדאי לרענן את הידע שלכם במסמכי התיעוד של PHP. אם זו הפעם הראשונה שאתם מתכנתים, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן ולא נוהגים לערוך את קובצי ה-PHP שלה ישירות, השוו בין הקבצים בשרת שלכם לרשימה של קובצי ברירת המחדל שארוזים עם מערכת ניהול התוכן, כמו גם יישומי פלאגין ועיצובים. כדאי לחפש קבצים שלא שייכים, וכן קבצים שגדולים מגרסת ברירת המחדל שלהם.

סורקים את הקבצים החשודים שכבר זיהיתם כדי לחפש בלוקים של קוד מעורפל (obfuscated). זה יכול להיראות כמו שילוב של אותיות ומספרים מעורבלים לכאורה, ולפניהם בדרך כלל שילוב של פונקציות PHP כמו base64_decode, rot13, eval, strrev או gzinflate. הדוגמה הבאה ממחישה איך קטע הקוד עשוי להיראות. לפעמים כל הקוד ימולא בשורת טקסט ארוכה אחת כדי שייראה קטן יותר מכפי שהוא בפועל.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

לבדוק אם האתר נקי

לאחר שתסיימו לחלץ קבצים שנפרצו, בדקו אם העבודה הקשה השתלמה. זוכרים את דפי הג'יבריש שזיהיתם קודם לכן? השתמשו שוב בכלי 'אחזור כ-Google' כדי לבדוק אם הן עדיין קיימות. אם הם מגיבים בתור 'לא נמצא' בכלי 'אחזור כמו Google', רוב הסיכויים שמצבכם לא טוב ותוכלו לעבור לתיקון נקודות החולשה באתר.

איך אפשר למנוע פריצה נוספת?

תיקון נקודות החולשה באתר הוא השלב האחרון החיוני לתיקון האתר. מחקר שנערך לאחרונה מצא ש-20% מהאתרים הפרוצים נפרצים שוב תוך יום אחד. אם אתם יודעים בדיוק איך האתר נפרץ, זה מועיל. מומלץ לקרוא את המדריך הדרכים המובילות לפריצה של אתרים על ידי מפיצי ספאם כדי להתחיל בבדיקה. עם זאת, אם אתם לא יודעים איך האתר נפרץ, ריכזנו כאן רשימת פעולות שאפשר לבצע כדי לצמצם את נקודות החולשה באתר.

סרוק את המחשב באופן קבוע: השתמשו בכל סורק וירוסים פופולרי כדי לבדוק אם יש וירוסים או נקודות חולשה.
שינוי הסיסמאות באופן קבוע: שינוי הסיסמאות באופן קבוע לכל החשבונות באתר, כמו ספק האירוח, FTP ו-CMS, יכול למנוע גישה לא מורשית לאתר. חשוב ליצור סיסמה חזקה וייחודית לכל חשבון.
שימוש באימות דו-שלבי (2FA): אפשר להפעיל אימות דו-שלבי בכל שירות שבו צריך להיכנס לחשבון. אימות 2FA מקשה על האקרים להיכנס לחשבון, גם אם הם גונבים את הסיסמה שלכם.
לעדכן באופן קבוע את מערכת ניהול התוכן, יישומי הפלאגין, התוספים והמודולים: אנחנו מקווים שכבר ביצעתם את השלב הזה. אתרים רבים נפרצו כי הם מריצים תוכנה מיושנת. מערכות מסוימות לניהול תוכן תומכות בעדכון אוטומטי.
כדאי להירשם לשירות אבטחה כדי לעקוב אחר האתר: יש הרבה שירותים מעולים שיכולים לעזור לכם לעקוב אחר האתר תמורת תשלום נמוך. מומלץ להירשם לשירות הזה כדי לשמור על בטיחות האתר.

משאבים נוספים

אם אתם עדיין נתקלים בבעיות בתיקון האתר, יש עוד כמה משאבים שעשויים לעזור לכם.

הכלים האלה סורקים את האתר ויכולים לאתר תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה אותם או תומכת בהם.

אלו רק כמה כלים שיכולים לסרוק את האתר כדי לאתר תוכן בעייתי. חשוב לזכור שהסורקים האלה לא יכולים להבטיח שהם יזהו כל סוג של תוכן בעייתי.

הנה משאבים נוספים מ-Google שיכולים לעזור לך:

תיקון הפריצה למילת מפתח ביפנית

זיהוי סוג הפריצה הזה

תיקון הפריצה

הסרת חשבונות חדשים שנוצרו מ-Search Console

בדיקת הקובץ .htaccess (שני שלבים)

שלב 1

שלב 2

הסרת כל הקבצים והסקריפטים הזדוניים (4 שלבים)

שלב 1

שלב 2

שלב 3

שלב 4

לבדוק אם האתר נקי

איך אפשר למנוע פריצה נוספת?

משאבים נוספים

בדיקת הקובץ `.htaccess` (שני שלבים)