תיקון הפריצה של מילות מפתח וקישורים מוסוות

המדריך הזה נוצר במיוחד לסוג פריצה שמוסיף הרבה מילות מפתח דפי ג'יבריש לאתר שלך, שנתייחס אליהם כמילות מפתח מוסוות לפרוץ לקישורים. מיועד למשתמשים של popular Content Management (CMSs) (מערכות ניהול תוכן פופולריות, אבל המדריך הזה יועיל לכם גם אם אתם לא משתמשים במערכת ניהול תוכן.

אנחנו רוצים לוודא שהמדריך הזה באמת יועיל לך. שליחת משוב כדי לעזור לנו להשתפר!

מילות המפתח הסמוות ופריצת הקישורים יוצרים באופן אוטומטי דפים רבים עם בטקסט, בקישורים ובתמונות חסרות היגיון. לפעמים הדפים האלה מכילים מידע בסיסי מהאתר המקורי, לכן במבט ראשון, הדפים נראים כמו חלקים רגילים באתר עד שתקראו את התוכן.

הדפים שנפרצו נוצרים כדי להשפיע על גורמי הדירוג של Google. האקרים מנסים לייצר הכנסות בדרך הזו על ידי מכירת הקישורים בדפים שנפרצו צדדים שלישיים שונים. לעיתים קרובות הדפים שנפרצו גם מפנים את המבקרים לכתובת דף שלא קשור לנושא שבו האקרים יכולים להרוויח כסף.

קודם כל בודקים את בעיות אבטחה בכלי ב-Search Console כדי לבדוק אם Google גילתה אחד מהדפים האלה. באתר שלכם. לפעמים אפשר לגלות דפים כמו זה גם על ידי פתיחת בחלון החיפוש מקלידים site:_your site url_, כאשר כתובת ה-URL ברמת הבסיס היא באתר שלך. פעולה זו תציג את הדפים ש-Google הוסיפה לאינדקס עבור האתר שלכם. כולל הדפים שנפרצו. מנווטים בכמה דפים של תוצאות חיפוש לראות אם אתם מזהים כתובות אתרים חריגות. אם לא מופיע תוכן שנוסף בפריצה ב-Google חיפוש, משתמשים באותם מונחי חיפוש במנוע חיפוש אחר. הנה דוגמה לאופן שבו זה ייראה:

תוצאות חיפוש שנוצרו על ידי הפריצה הזו.
הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשלוחצים על קישור לדף שנפרץ, יופנו לאתר אחר, או שתראו דף שמלא בתוכן בג'יבריש. אבל, לפעמים ייתכן גם שתראו הודעה שמציינת שהדף אינו קיים לדוגמה, שגיאה 404). אל תיפלו בפח! האקרים ינסו להטעות אותך כדי לגרום לך מתוך מחשבה שהדף נעלם או תוקן כשהוא עדיין נפרץ. הם עושים זאת על ידי הסוואה תוכן. אפשר לחפש הסוואה על ידי הזנת כתובות ה-URL של האתר הכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לך לראות את התוכן המוסתר הבסיסי.

אם נתקלת בבעיות כאלה, סביר להניח שהאתר הושפע מסוג כזה לפרוץ.

דף לדוגמה שנוצר על ידי הפריצה הזו.
דוגמה לדף שנוצר על ידי הפריצה הזו.

תיקון הפריצה

לפני שמתחילים, חשוב ליצור עותק אופליין של קבצים לפני שמסירים אותם, בקטע למקרה שתצטרכו לשחזר אותם מאוחר יותר. עדיף לגבות את כל האתר לפני להתחיל את תהליך הניקוי. אפשר לעשות זאת על ידי שמירת כל הקבצים בשרת שלכם למיקום מחוץ לשרת או שמחפשים את הגיבוי הטוב ביותר אפשרויות למערכת ניהול התוכן (CMS) הספציפית שלכם. אם משתמשים במערכת ניהול התוכן, מגבים את מסד הנתונים.

בדיקת הקובץ ב-.htaccess (3 שלבים)

מילות המפתח המסוותות והפריצות לקישורים משתמשים בקובץ .htaccess שלך כדי באופן אוטומטי ליצור דפים מוסוים באתר. היכרות עם העקרונות הבסיסיים של .htaccess באתר הרשמי של Apache יכול לעזור לכם להבין טוב יותר את אופן הפריצה משפיעה על האתר, אבל זו לא חובה.

שלב 1

מאתרים את הקובץ .htaccess באתר. אם אתם לא בטוחים איפה למצוא את הקובץ ומשתמשים במערכת ניהול תוכן כמו WordPress, Joomla או Drupal, "מיקום קובץ .htaccess" במנוע חיפוש יחד עם השם של מערכת ניהול התוכן שלכם. בהתאם לאתר שלכם, ייתכן שתראו כמה קבצים מסוג .htaccess. צור רשימה של כל .htaccess מיקומי הקבצים.

שלב 2

כדי להציג את תוכן הקובץ צריך לפתוח את הקובץ .htaccess. חיפוש שורה של שנראה בערך כך:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

המשתנים בשורה הזו יכולים להשתנות. גם cj2fa וגם tobeornottobe יכולים להיות כל שילוב של אותיות או מילים. מה שחשוב הוא לזהות את .php שמוזכרים בשורה הזו.

כותבים את הקובץ .php שהוזכר בקובץ .htaccess. בדוגמה, השם של הקובץ .php הוא injected_file.php, אבל בפועל שם הקובץ לא יהיה ברור. בדרך כלל מדובר בקבוצה אקראית של מילים תמימות כמו horsekeys.php או potatolake.php. סביר להניח שמדובר ב-.php זדוני שנצטרך לאתר ולהסיר מאוחר יותר.

שלב 3

צריך להחליף את כל .htaccess הקבצים בגרסה נקייה או בגרסת ברירת מחדל של .htaccess חדש. בדרך כלל אפשר למצוא גרסת ברירת מחדל של קובץ .htaccess באמצעות חיפוש ל'קובץ ברירת המחדל' .htaccess ואת השם של מערכת ניהול התוכן שלכם. עבור אתרים עם מספר .htaccess. צריך למצוא גרסה נקייה של כל אחד מהם ולבצע החלפה.

אם לא קיימת ברירת מחדל לקובץ .htaccess ומעולם לא הגדרת קובץ .htaccess באתר שלכם, כנראה שהקובץ .htaccess שנמצא באתר הוא זדוני. כדאי לשמור עותק של .htaccess הקבצים במצב אופליין, למקרה שיהיה בהם צורך מהאתר שלך.

איתור והסרה של קבצים זדוניים אחרים (5 שלבים)

הזיהוי של קבצים זדוניים יכול להיות מורכב ולגזול זמן. זה לא דחוף בזמן בדיקת הקבצים. אם עדיין לא עשית זאת, זה זמן טוב לגבות קבצים באתר שלכם. חיפוש ב-Google של הביטוי 'גיבוי האתר' והשם של במערכת ניהול התוכן כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, התקינו מחדש את כל קובצי הליבה (ברירת המחדל) שמגיעים של מערכת ניהול התוכן המוגדרת כברירת מחדל, וגם כל מידע שהוספתם (כמו כעיצובים, מודולים, יישומי פלאגין). כך אפשר לוודא שהקבצים האלה נקיים תוכן שנפרץ. תוכל לחפש ב-Google את הביטוי 'התקנה מחדש' ואת השם של מערכת ניהול התוכן שלכם למצוא הוראות התקנה מחדש. אם יש לכם יישומי פלאגין, מודולים, תוספים או עיצובים, אל תשכחו להתקין גם אותם מחדש.

שלב 2

מתחילים בחיפוש הקובץ .php שזיהיתם ב.htaccess מוקדם יותר. בהתאם לאופן הגישה שלכם לקבצים בשרת: צריך להיות סוג מסוים של פונקציונליות חיפוש. מחפשים את התוכנה הזדונית [שם הקובץ]. אם תמצא את הקובץ, קודם צריך ליצור עותק לגיבוי ולשמור אותו בקובץ אחר המיקום, למקרה שתצטרכו לשחזר אותו, ואז למחוק אותו מהאתר.

שלב 3

מחפשים קבצים זדוניים או קבצים שנפרצו. יכול להיות שכבר הסירו את כל הקבצים הזדוניים בשני השלבים הקודמים, אבל עדיף לעבוד לבצע את השלבים הבאים למקרה שיהיו עוד קבצים שנפרצו .

אל תבהלו בכך שתחשבו שצריך לפתוח ולבחון את כל קובץ PHP. בתור התחלה, יוצרים רשימה של קובצי PHP חשודים לחקור את הנושא. יש כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

  • אם כבר טענתם מחדש את קובצי ה-CMS שלכם, חפשו רק קבצים שאינם חלק של הקבצים או התיקיות שמוגדרים כברירת מחדל במערכת ניהול התוכן. הפעולה הזו אמורה לשלול קובצי PHP רבים ולהשאיר לכם כמה קבצים לצפות בהם.
  • ממיינים את הקבצים באתר לפי תאריך השינוי האחרון שלהם. חיפוש של שבוצעו בהם שינויים במהלך כמה חודשים מהמועד שבו גילה שהאתר שלכם נפרץ.
  • ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים במיוחד.

שלב 4

אחרי שתהיה לכם רשימה של קובצי PHP חשודים, כדאי לבדוק אם הם זדוניים. אם אתם לא מכירים את PHP, יכול להיות שהתהליך הזה צורך זמן רב יותר, כדאי לרענן קצת מסמכי PHP. אם המיקום רק התחלתם לעבוד עם תכנות, אנחנו ממליצים קבלת עזרה. בינתיים, יש כמה סרטונים דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן ואתם לא נוהגים לערוך את הקבצים האלה ישירות, להשוות את הקבצים בשרת שלכם לרשימה של קובצי ברירת המחדל הארוזים עם את מערכת ניהול התוכן ואת כל יישומי הפלאגין והעיצובים. חיפוש קבצים שלא שייכים וגם קבצים גדולים מגרסת ברירת המחדל שלהם.

קודם כול, מעיינים בקבצים החשודים שזיהיתם ומחפשים אותם גושי טקסט גדולים עם שילוב של אותיות מבולבלות לכאורה . בדרך כלל לפני גוש הטקסט הגדול מופיע שילוב של PHP פונקציות כמו base64_decode, rot13, eval, strrev או gzinflate. הדוגמה הבאה ממחישה איך נראה בלוק הקוד הזה. לפעמים כל זה יוכנס לשורה אחת ארוכה של טקסט וכך הוא ייראה קטן יותר היא בפועל.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

לפעמים הקוד לא מבולבל ורק נראה כמו סקריפט רגיל. אם אתם לא בטוחים אם הקוד פגום, פורומים לעזרה למנהלי אתרים שבו קבוצה של מנהלי אתרים מנוסים יכולים לעזור לכם לבדוק את הקבצים.

שלב 5

עכשיו, אחרי שהבנת אילו קבצים חשודים, אפשר ליצור גיבוי או עותק מקומי באמצעות כדאי לשמור אותם במחשב, למקרה שהקבצים אינם זדוניים, ולמחוק את הקבצים החשודים מהאתר.

בודקים אם האתר נקי

לאחר סיום ההסרה של הקבצים שנפרצו, כדאי לבדוק אם העבודה הקשה שלך בוצעה השתלם. זוכרים את דפי הג'יבריש שזיהיתם קודם? שימוש באחזור ולהשתמש בהם בכלי של Google כדי לבדוק אם הם עדיין קיימים. אם התשובה שלו היא 'לא נמצא" ב'אחזור כמו Google', רוב הסיכויים שאתם במצב די טוב ושאתם יכולים עברו אל תיקון נקודות החולשה באתר שלכם.

איך אפשר למנוע פריצה נוספת?

תיקון נקודות החולשה באתר הוא שלב חיוני וחיוני לתיקון . מחקר שבוצע לאחרונה גילה ש-20% מהאתרים הפרוצים שוב נפרצו בתוך יום אחד. חשוב לדעת איך בדיוק האתר נפרץ. כדאי לקרוא את הדרכים המובילות לפריצה לאתרים על ידי מפיצי ספאם שלנו כדי להתחיל בחקירה. אבל אם אתם לא מצליחים להבין אם האתר שלכם נפרץ, פירטנו כאן רשימת פעולות שאפשר לבצע כדי מפחיתות נקודות חולשה באתר שלכם:

  • סריקה קבועה של המחשב: משתמשים בכל סורק וירוסים פופולרי כדי לבדוק אותו. וירוסים או נקודות חולשה.
  • החלפת הסיסמאות באופן קבוע: שינוי הסיסמאות באופן קבוע ל- כל חשבונות האתרים שלכם, כמו ספק האירוח, FTP ו-CMS למנוע גישה בלתי מורשית לאתר. חשוב ליצור דפוס חזק, סיסמה ייחודית לכל חשבון.
  • שימוש אימות דו-שלבי (2FA): כדאי להפעיל 2FA בכל שירות שבו נדרשת כניסה לחשבון. 2FA מקשה על האקרים להיכנס לחשבון, גם אם הם גנבו בהצלחה הסיסמה שלך.
  • לעדכן באופן קבוע את מערכת ניהול התוכן, יישומי הפלאגין, התוספים והמודולים: אני מקווה שכבר ביצעת את השלב הזה. אתרים רבים נפרצו כי מפעילים תוכנה מיושנת. חלק ממערכות ניהול התוכן תומכות בעדכון אוטומטי.
  • כדאי להירשם לשירות אבטחה כדי לעקוב אחר האתר שלכם: יש הרבה שירותים נהדרים שיכולים לעזור לכם לנטר את תמורת תשלום נמוך. כדאי להירשם איתם כדי לשמור על בטיחות האתר.

מקורות מידע נוספים

אם עדיין יש בעיות בתיקון האתר, יש עוד כמה בעיות במקורות המידע שעשויים לעזור לכם.

הכלים האלה סורקים את האתר שלכם ויכול להיות שהם יצליחו למצוא תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה אותם או תומכת בהם.

אלו רק כמה כלים שיכולים לעזור לך לסרוק את האתר כדי לאתר בעיות תוכן. חשוב לזכור שהסורקים האלה לא יכולים להבטיח שהם לזהות כל סוג של תוכן בעייתי.

ריכזנו כאן מקורות מידע נוספים מ-Google שיוכלו לעזור: