本指南專門針對一種在網站上產生自動產生的日文文字的攻擊手法,我們稱之為「日文關鍵字攻擊」。本指南適用於使用熱門內容管理系統 (CMS) 的使用者,但即使您不使用 CMS,這份指南仍會提供實用資訊。
找出這類駭客攻擊
日文關鍵字攻擊通常會以隨機產生目錄名稱的方式,在網站上建立滿是日文的新網頁 (例如 http://example.com/ltjmnjp/341.html
)。這些網頁會使用聯盟連結指向販售冒牌商品的商店,並顯示在 Google 搜尋服務中,藉此達到營利目的。以下為這類頁面的範例:
在這種駭客攻擊中,駭客通常會在 Search Console 中將自己新增為資源擁有者,藉此操控地理指定或 Sitemap 等網站設定來增加收益。如果您收到通知,指出有不明人士在 Search Console 中驗證您的網站,那麼您的網站很有可能遭到駭客入侵。
首先,請在 Search Console 中查看「安全性問題」工具,瞭解 Google 是否在你的網站上發現任何遭入侵的頁面。有時,你也可以開啟 Google 搜尋視窗,並輸入 site:_your site url_
和網站的根層級網址,來找出這類網頁。這會顯示 Google 為你的網站建立索引的網頁,包括遭到入侵的網頁。瀏覽幾頁搜尋結果,看看是否有任何不尋常的網址。如果在 Google 搜尋中沒有發現任何遭到入侵的內容,請使用相同的搜尋字詞,並透過其他搜尋引擎搜尋。以下是這項功能的示例:
通常,當您點選連結到遭駭客入侵的網頁時,系統會將您重新導向至其他網站,或是顯示充滿亂碼的網頁。不過,您也可能會看到網頁不存在的訊息 (例如 404 錯誤)。別上當!駭客會試圖讓你以為網頁已遭移除或已修正,但實際上仍遭到入侵。方法是隱藏內容。在網址檢查工具中輸入網站的網址,檢查是否有隱藏內容。您可以使用 Google 模擬器工具查看隱藏的底層內容。
如果發現這些問題,表示你的網站很可能受到這類駭客攻擊的影響。
修正駭客攻擊
開始前,請先為所有檔案建立離線副本,以便日後需要還原時使用。建議您在開始清理程序前備份整個網站。您可以將伺服器上的所有檔案儲存到伺服器外的其他位置,或是搜尋特定內容管理系統 (CMS) 的最佳備份選項。如果您使用 CMS,請一併備份資料庫。
將新建立的帳戶從 Search Console 中移除
如果 Search Console 帳戶新增了你不認識的新擁有者,請盡快撤銷對方的存取權。您可以在 Search Console 驗證頁面中查看哪些使用者已驗證網站。按一下該網站的「驗證詳細資料」,即可查看所有已驗證的使用者。
如要在 Search Console 中移除擁有者,請參閱「管理使用者、擁有者和權限」說明中心文章中的「移除擁有者」一節。您必須移除相關聯的驗證權杖,這通常是網站根目錄中的 HTML 檔案,或是模擬 HTML 檔案的動態產生 .htaccess
檔案。
如果您在網站上找不到 HTML 驗證權杖,請檢查 .htaccess
檔案中的重寫規則。重寫規則會類似於以下內容:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
如要從 .htaccess
檔案中移除動態產生的驗證權杖,請按照下列步驟操作:
檢查 .htaccess
檔案 (2 個步驟)
除了使用 .htaccess
檔案建立動態產生的驗證權杖,駭客也經常使用 .htaccess
規則重新導向使用者,或建立含有垃圾內容的亂碼網頁。除非您有自訂的 .htaccess
規則,否則建議您將 .htaccess
替換為全新的副本。
步驟 1
在網站上找出 .htaccess
檔案。如果不確定該如何找到該檔案,且您使用的是 WordPress、Joomla 或 Drupal 等 CMS,請在搜尋引擎中搜尋「.htaccess 檔案位置」和 CMS 名稱。視網站而定,您可能會看到多個 .htaccess
檔案。列出所有 .htaccess
檔案位置。
步驟 2
將所有 .htaccess
檔案替換為 .htaccess
檔案的清除或預設版本。您通常可以搜尋「預設 .htaccess
檔案」和 CMS 名稱,找到 .htaccess
檔案的預設版本。如果網站有多個 .htaccess
檔案,請找出每個檔案的乾淨版本並進行取代。
如果沒有預設 .htaccess
,且您從未在網站上設定 .htaccess
檔案,那麼您在網站上找到的 .htaccess
檔案很可能是惡意檔案。為預防萬一,請離線儲存 .htaccess
檔案的副本,然後從網站中刪除 .htaccess
檔案。
移除所有惡意檔案和指令碼 (4 個步驟)
找出惡意檔案可能需要花費大量時間,而且不容易辨識。請務必仔細檢查檔案。如果您尚未備份網站上的檔案,現在是時候進行備份了。在 Google 搜尋中輸入「備份網站」和 CMS 名稱,即可找到有關備份網站的操作說明。
步驟 1
如果您使用 CMS,請重新安裝 CMS 預設發布版本中的所有核心 (預設) 檔案,以及您新增的任何內容 (例如主題、模組或外掛程式)。這有助於確保這些檔案不含遭入侵的內容。您可以使用 Google 搜尋功能搜尋「重新安裝」和 CMS 名稱,找出重新安裝的操作說明。如果您有任何外掛程式、模組、擴充功能或主題,請務必一併重新安裝。
步驟 2
駭客通常會修改你的 Sitemap 或新增 Sitemap,以便加快網址的索引速度。如果您先前有網站地圖檔案,請檢查檔案是否有任何可疑的連結,並將這些連結從網站地圖中移除。如果有任何 Sitemap 檔案是你不記得加入網站的,請仔細檢查,如果只包含垃圾網址,請將其移除。
步驟 3
請檢查是否有其他惡意或遭入侵的檔案。您可能已在前兩個步驟中移除所有惡意檔案,但建議您完成後續幾個步驟,以防網站上還有其他遭到入侵的檔案。
別因為認為您需要開啟並查看每個 PHP 檔案而感到不知所措。首先,請建立要調查的可疑 PHP 檔案清單。以下提供幾種方法,協助您判斷哪些 PHP 檔案可疑:
- 如果您已重新載入 CMS 檔案,請只查看不在預設 CMS 檔案或資料夾中的檔案。這應該可以排除許多 PHP 檔案,只留下幾個檔案供您查看。
- 依上次修改日期排序您網站上的檔案,找出在您首次發現網站遭到入侵後的幾個月內修改過的檔案。
- 依大小排序您網站上的檔案,找出所有特別大的檔案。
步驟 4
取得可疑 PHP 檔案清單後,請檢查這些檔案是否含有惡意內容。如果您不熟悉 PHP,這個程序可能會耗費更多時間,因此建議您參閱一些 PHP 說明文件,加強相關知識。如果您是程式設計新手,建議尋求協助。在此期間,您可以觀察一些基本模式,找出惡意檔案。
如果你使用 CMS,但不習慣直接編輯 PHP 檔案,請比較伺服器上的檔案,以及 CMS 和任何外掛程式和主題所隨附的預設檔案清單。找出不屬於這個資料夾的檔案,以及檔案大小大於預設版本的檔案。
掃描您已識別出的可疑檔案,尋找經過模糊處理的程式碼區塊。這可能看起來像是看似雜亂的字母和數字組合,通常會在 base64_decode
、rot13
、eval
、strrev
或 gzinflate
等 PHP 函式組合之前出現。以下是程式碼區塊的範例。有時所有程式碼都會塞入一行長文字,讓程式碼看起來比實際長度短。
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
檢查網站是否安全
移除遭入侵的檔案後,請檢查你的努力是否奏效。還記得先前找出的亂碼頁面嗎?再次使用 Google 模擬器工具,看看這些網頁是否仍存在。如果在「擷取 Google 資料」中,他們回應「找不到」,表示你的網站狀況良好,可以繼續修正網站上的安全漏洞。
如何避免再次遭到入侵?
修正網站上的安全漏洞,是修復網站的最後步驟。近期研究顯示,遭到入侵的網站有 20% 會在一天內再次遭到入侵。因此,確切瞭解網站遭到入侵的方式實在很有幫助。請參閱垃圾內容發布者入侵網站的常見方式指南,開始調查。不過,如果您無法判斷網站遭到入侵的方式,請參考以下檢查清單,瞭解如何減少網站上的安全漏洞。
- 定期掃描電腦:使用任何熱門的防毒掃描工具,檢查電腦是否有病毒或漏洞。
- 定期變更密碼:定期變更所有網站帳戶 (例如代管服務供應商、FTP 和 CMS) 的密碼,有助於防止未經授權存取網站。請務必為每個帳戶建立專屬的高強度密碼。
- 使用雙重驗證 (2FA): 建議您在任何需要登入的服務上啟用雙重驗證。有了兩步驟驗證功能,即使駭客成功竊取密碼,也難以登入。
- 定期更新 CMS、外掛程式、擴充功能和模組:希望您已經完成這個步驟。許多網站會遭到駭客入侵,原因是因為執行過舊的軟體。部分 CMS 支援自動更新功能。
- 考慮訂閱安全性服務來監控網站:市面上有許多優質服務,只要支付少許費用,就能協助您監控網站。建議你向這些機構註冊,確保網站安全無虞。
其他資源
如果仍無法順利修正網站,請參考其他資源。
這些工具會掃描你的網站,並找出有問題的內容。不過,除了 VirusTotal Google 提供的工具,Google 並未對其他工具提供支援。
以上只是部分工具,可掃描網站是否有問題內容。請注意,這些掃描工具無法保證一定能找出所有類型的有問題內容。
Google 另外提供了以下資源,可能對您有所幫助: