Ten przewodnik dotyczy rodzaju włamania, które powoduje tworzenie w witrynie automatycznie generowanego tekstu w języku japońskim. Nazywamy je włamaniem z użyciem japońskich słów kluczowych. Jest on przeznaczony dla użytkowników popularnych systemów zarządzania treścią (CMS), ale będzie przydatny również wtedy, gdy Twoja witryna nie korzysta z CMS.
Określanie typu ataku
Ataki wykorzystujące japońskie słowa kluczowe zwykle tworzą na Twojej stronie nowe strony z automatycznie wygenerowanym tekstem w języku japońskim w losowo generowanych katalogach (np. http://example.com/ltjmnjp/341.html). Te strony generują przychód przez wykorzystanie linków partnerskich do sklepów sprzedających podróbki, a potem są wyświetlane w wynikach wyszukiwania Google. Oto przykład jednej z takich stron:
W przypadku tego typu ataku haker zwykle dodaje się jako właściciel usługi w Search Console, aby zwiększyć zyski przez manipulowanie ustawieniami witryny, takimi jak kierowanie geograficzne czy mapy witryn. Jeśli otrzymasz powiadomienie, że ktoś, kogo nie znasz, zweryfikował Twoją witrynę w Google Search Console, istnieje duże prawdopodobieństwo, że Twoja witryna została zhakowana.
Zacznij od sprawdzenia narzędzia Problemy dotyczące bezpieczeństwa w Search Console, aby dowiedzieć się, czy Google wykryło w Twojej witrynie którąś z tych zhakowanych stron. Czasami możesz też znaleźć takie strony, otwierając okno wyszukiwarki Google i wpisując site:_your site url_ wraz z adresem URL najwyższego poziomu Twojej witryny. Wyświetlą się strony Twojej witryny, które zostały zindeksowane przez Google, w tym strony zaatakowane przez hakerów. Przejrzyj kilka stron wyników wyszukiwania, aby sprawdzić, czy nie ma na nich nietypowych adresów URL. Jeśli w wyszukiwarce Google nie widzisz żadnych zhakowanych treści, użyj tych samych haseł w innej wyszukiwarce. Oto przykład:
Zwykle po kliknięciu linku do zhakowanej strony następuje przekierowanie do innej witryny lub wyświetlenie strony pełnej bezsensownych treści. Może się jednak pojawić komunikat sugerujący, że strona nie istnieje (np. błąd 404). Nie daj się zwieść! Hakerzy będą próbowali Cię oszukać, abyś myślał(-a), że strona została usunięta lub naprawiona, podczas gdy nadal jest zaatakowana. Osiągają to przez maskowanie treści. Sprawdź, czy nie stosujesz maskowania, wpisując adresy URL witryny w narzędziu do sprawdzania adresów URL. To narzędzie pozwala zobaczyć ukryte treści.
Jeśli zauważysz te problemy, Twoja witryna prawdopodobnie została zaatakowana przez hakerów.
Naprawianie włamania
Zanim zaczniesz, utwórz kopię offline wszystkich plików, które chcesz usunąć, na wypadek gdyby trzeba było je później przywrócić. Jeszcze lepiej będzie, jeśli przed rozpoczęciem procesu czyszczenia utworzysz kopię zapasową całej witryny. Możesz to zrobić, zapisując wszystkie pliki znajdujące się na serwerze w lokalizacji poza serwerem lub wyszukując najlepsze opcje tworzenia kopii zapasowych dla konkretnego systemu zarządzania treścią (CMS). Jeśli używasz systemu CMS, utwórz też kopię zapasową bazy danych.
Usuwanie nowych kont z Search Console
Jeśli do Twojego konta Search Console został dodany nowy właściciel, którego nie rozpoznajesz, jak najszybciej cofnij mu dostęp. Na stronie weryfikacji w Search Console możesz sprawdzić, którzy użytkownicy mają zweryfikowaną witrynę. Kliknij „Szczegóły weryfikacji” obok witryny, aby wyświetlić wszystkich zweryfikowanych użytkowników.
Aby usunąć właściciela z Search Console, zapoznaj się z sekcją Usuwanie właściciela w Centrum pomocy dotyczącym zarządzania użytkownikami, właścicielami i uprawnieniami.
Musisz usunąć powiązany token weryfikacyjny, który zwykle jest plikiem HTML w katalogu głównym witryny lub dynamicznie generowanym plikiem .htaccess imitującym plik HTML.
Jeśli nie możesz znaleźć tokena weryfikacyjnego HTML w swojej witrynie, sprawdź, czy w pliku .htaccess nie ma reguły przekierowania. Będzie ona wyglądać podobnie do tej:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Aby usunąć z pliku .htaccess
wygenerowany dynamicznie token weryfikacyjny, wykonaj te czynności:
Sprawdź plik .htaccess (2 kroki)
Oprócz używania pliku .htaccess do tworzenia dynamicznie generowanych tokenów weryfikacyjnych hakerzy często używają reguł .htaccess do przekierowywania użytkowników lub tworzenia bezsensownych stron spamowych. Jeśli nie masz niestandardowych reguł .htaccess, rozważ zastąpienie .htaccess zupełnie nową kopią.
Krok 1
Znajdź w witrynie plik .htaccess. Jeśli nie wiesz, gdzie go szukać, a korzystasz z systemu CMS takiego jak WordPress, Joomla lub Drupal, wyszukaj w wyszukiwarce „lokalizacja pliku .htaccess” wraz z nazwą systemu CMS. W zależności od witryny możesz zobaczyć kilka plików .htaccess. Utwórz listę wszystkich lokalizacji plików .htaccess.
Krok 2
Zastąp wszystkie pliki .htaccess czystą lub domyślną wersją pliku .htaccess. Domyślną wersję pliku .htaccess możesz zwykle znaleźć, wyszukując „domyślny plik .htaccess” i nazwę systemu CMS. W przypadku witryn z wieloma plikami .htaccess znajdź czystą wersję każdego z nich i zastąp nim poprzednią.
Jeśli nie ma domyślnego pliku .htaccess i nigdy nie konfigurowano pliku .htaccess w witrynie, plik .htaccess znaleziony w witrynie jest prawdopodobnie złośliwy. Zapisz kopię .htaccessplików offline na wszelki wypadek i usuń .htaccessplik z witryny.
Usuwanie wszystkich złośliwych plików i skryptów (4 kroki)
Identyfikowanie złośliwych plików może być trudne i czasochłonne. Poświęć na to wystarczająco dużo czasu. Jeśli jeszcze tego nie zrobiono, warto teraz utworzyć kopię zapasową plików w witrynie. Wyszukaj w Google hasło „utwórz kopię zapasową witryny” i nazwę swojego systemu CMS, aby znaleźć instrukcje tworzenia kopii zapasowej witryny.
Krok 1
Jeśli używasz systemu CMS, ponownie zainstaluj wszystkie podstawowe (domyślne) pliki, które są dostępne w domyślnej dystrybucji systemu CMS, a także wszystkie dodane przez Ciebie elementy (np. motywy, moduły lub wtyczki). Dzięki temu będziemy mieć pewność, że te pliki nie zawierają zhakowanych treści. Aby znaleźć instrukcje ponownej instalacji, wyszukaj w Google hasło „ponowna instalacja” i nazwę systemu CMS. Jeśli masz wtyczki, moduły, rozszerzenia lub motywy, zainstaluj je ponownie.
Krok 2
Hakerzy często modyfikują mapę witryny lub dodają nowe mapy, aby szybciej indeksować swoje adresy URL. Jeśli wcześniej miałeś(-aś) plik mapy witryny, sprawdź, czy nie zawiera on podejrzanych linków, i usuń je. Jeśli znajdziesz pliki mapy witryny, których nie pamiętasz, sprawdź je. Usuń plik, jeśli zawiera tylko adresy URL spamu.
Krok 3
Poszukaj innych złośliwych lub zainfekowanych plików. Być może w 2 poprzednich krokach udało Ci się już usunąć wszystkie złośliwe pliki, ale warto wykonać kolejne kroki, aby sprawdzić, czy w Twojej witrynie nie ma więcej zainfekowanych plików.
Nie musisz otwierać i przeglądać każdego pliku PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz sprawdzić. Oto kilka sposobów na określenie, które pliki PHP są podejrzane:
- Jeśli pliki CMS zostały już ponownie załadowane, sprawdź tylko te, które nie należą do domyślnych plików lub folderów CMS. Powinno to wykluczyć wiele plików PHP i pozostawić tylko kilka plików do sprawdzenia.
- Posortuj pliki w witrynie według daty ostatniej modyfikacji. Poszukaj plików, które zostały zmodyfikowane w ciągu kilku miesięcy od momentu, w którym po raz pierwszy odkryłeś, że Twoja witryna została zaatakowana przez hakerów.
- Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
Krok 4
Po utworzeniu listy podejrzanych plików PHP sprawdź je pod kątem złośliwych treści. Jeśli nie znasz języka PHP, ten proces może zająć więcej czasu, więc warto zapoznać się z dokumentacją PHP. Jeśli dopiero zaczynasz przygodę z kodowaniem, zalecamy rozmowę z doświadczonym programistą. W międzyczasie możesz szukać podstawowych wzorców, które pomogą Ci zidentyfikować złośliwe pliki.
Jeśli używasz systemu CMS i nie masz zwyczaju bezpośrednio edytować jego plików PHP, porównaj pliki na serwerze z listą domyślnych plików dołączonych do systemu CMS oraz wtyczek i motywów. Wyszukaj pliki, które nie należą do tej kategorii, oraz pliki większe niż ich domyślna wersja.
Przeskanuj podejrzane pliki, które zostały już zidentyfikowane, aby znaleźć bloki zamaskowanego kodu. Może to być kombinacja pozornie pomieszanych liter i cyfr, zwykle poprzedzona kombinacją funkcji PHP, takich jak base64_decode, rot13, eval, strrev lub gzinflate. Oto przykład, jak może wyglądać blok kodu. Czasami cały ten kod jest upakowany w jeden długi wiersz tekstu, przez co wygląda na mniejszy, niż jest w rzeczywistości.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Sprawdzanie, czy witryna jest czysta
Po usunięciu zhakowanych plików sprawdź, czy Twoja ciężka praca przyniosła efekty. Pamiętasz te strony z niezrozumiałym tekstem, które udało Ci się wcześniej zidentyfikować? Użyj ponownie narzędzia Pobierz jako Google, aby sprawdzić, czy nadal istnieją.
Jeśli w narzędziu „Pobierz jako Google” pojawi się odpowiedź „Nie znaleziono”, prawdopodobnie wszystko jest w porządku i możesz przejść do usuwania luk w zabezpieczeniach witryny.
Jak zapobiec ponownym atakom?
Naprawienie luk w zabezpieczeniach witryny to niezbędny ostatni krok w procesie naprawy witryny. Z niedawnego badania wynika, że 20% zaatakowanych witryn jest ponownie atakowanych w ciągu 1 dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Aby rozpocząć dochodzenie, zapoznaj się z naszym przewodnikiem Najczęstsze sposoby, w jakie spamerzy atakują witryny. Jeśli nie wiesz, w jaki sposób Twoja witryna została zaatakowana przez hakerów, postępuj zgodnie z tą listą kontrolną, aby zmniejszyć podatność witryny na ataki.
- Regularnie skanuj komputer: używaj popularnego oprogramowania antywirusowego, aby sprawdzać, czy nie ma wirusów ani luk w zabezpieczeniach.
- Regularnie zmieniaj hasła: regularna zmiana haseł do wszystkich kont w witrynie, takich jak konta u dostawcy hostingu, FTP i CMS, może zapobiec nieautoryzowanemu dostępowi do witryny. Ważne jest, aby utworzyć silne, unikalne hasło do każdego konta.
- Używaj uwierzytelniania dwuskładnikowego: rozważ włączenie uwierzytelniania dwuskładnikowego w każdej usłudze, w której musisz się zalogować. Utrudni to hakerom zalogowanie się, nawet jeśli zdobędą Twoje hasło.
- Regularnie aktualizuj system CMS, wtyczki, rozszerzenia i moduły: mamy nadzieję, że ten krok masz już za sobą. Wiele witryn jest atakowanych, ponieważ działają na nieaktualnym oprogramowaniu. Niektóre systemy CMS obsługują automatyczne aktualizacje.
- Rozważ subskrypcję usługi zabezpieczeń, która będzie monitorować Twoją witrynę: dostępnych jest wiele usług, które za niewielką opłatą pomogą Ci monitorować witrynę. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.
Dodatkowe materiały
Jeśli nadal masz problemy z naprawieniem witryny, skorzystaj z tych dodatkowych materiałów.
Te narzędzia skanują Twoją witrynę i mogą wykryć problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.
To tylko niektóre narzędzia, które mogą skanować witrynę pod kątem problematycznej zawartości. Pamiętaj, że nie gwarantują one wykrycia każdego rodzaju problematycznej zawartości.
Dodatkowe zasoby Google, które mogą się przydać: