本指南旨在協助駭客入侵含有大量關鍵字的網頁,而我們稱之為偽裝關鍵字和連結入侵行為。本文專為熱門內容管理系統 (CMS) 的使用者所設計。不過,即使您並未使用 CMS,本指南仍十分實用。
我們希望確定這份指南對您有所幫助。歡迎提供意見,協助我們改善服務品質!
判別這類入侵行為
偽裝關鍵字和連結入侵會自動產生許多包含無意義文字、連結和圖片的網頁。這些網頁有時會含有原始網站的基本範本元素,所以乍看之下,可能在使用者閱讀內容前,可能會看起來像是網站的正常網頁。
之所以建立這類網頁,是為了操控 Google 的排名因素。 駭客經常會將遭入侵網頁上的連結販售給其他第三方,藉此營利。此外,遭到入侵的網頁常會將訪客重新導向至不相關的網頁,例如色情網站,讓駭客從中牟利。
首先,請查看 Search Console 中的安全性問題工具,看看 Google 是否在您的網站上找到任何這類遭到入侵的網頁。有時候,開啟 Google 搜尋視窗並輸入 site:_your site url_,其中包含網站的根層級網址,也可以找出這類網頁。您網站上已經由 Google 建立索引的網頁都會顯示,包括遭到入侵的網頁。瀏覽搜尋結果中的兩頁網頁,看看是否有任何不尋常的網址。
如果 Google 搜尋沒有顯示任何遭入侵的內容,請使用其他搜尋引擎搜尋相同的搜尋字詞。大致如以下所示
一般而言,當您點選遭入侵網頁的連結時, 會重新導向至其他網站,或是顯示充斥胡言亂語內容的網頁。不過,您也可能會看到表示網頁不存在的訊息 (例如 404 錯誤)。別上當!駭客會試圖誘騙您以為網頁已經消失或已修正,但實際上網站仍遭到入侵。這種做法稱為「偽裝」內容。請在檢查網址工具工具中輸入網站網址,檢查是否有偽裝內容。Google 模擬器工具可讓您查看基本的隱藏內容。
如果看到這些問題,代表您的網站很可能受到這類駭客攻擊影響。
修正入侵問題
在開始之前,請先建立所有檔案的離線副本,再移除檔案,以免日後需要還原檔案。更棒的是,在開始執行清理程序之前 就先備份整個網站如要這麼做,請將位於伺服器上的所有檔案儲存到儲存在伺服器的位置,或是搜尋特定內容管理系統 (CMS) 適用的最佳備份選項。如果您使用的是 CMS,也應該備份資料庫
檢查 .htaccess 檔案 (3 個步驟)
偽裝關鍵字與連結入侵會使用您的 .htaccess 檔案,在您的網站上自動建立偽裝的網頁。您可以前往 Apache 官方網站,熟悉 .htaccess 基礎知識,進一步瞭解這類入侵行為如何影響您的網站,但這並非強制規定。
步驟 1
在網站上找出 .htaccess 檔案。如果您不確定該到哪裡查看,且使用的是 WordPress、Joomla 或 Drupal 等 CMS,請在搜尋引擎中搜尋「.htaccess 檔案位置」,並附上 CMS 名稱。視您的網站而定,您可能會看到多個 .htaccess 檔案。列出所有 .htaccess 的檔案位置。
步驟 2
開啟 .htaccess 檔案,查看檔案內容。在這個檔案中,您應能找到如下所示的一行程式碼:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
這行中的變數可能有所不同。cj2fa 和 tobeornottobe 均可混合使用字母或字詞。重要的是找出這行中參照的 .php。
請記下 .htaccess 檔案中提及的 .php 檔案。在本範例中,.php 檔案的名稱為 injected_file.php,但實際上 .php 檔案的名稱並不明顯。通常是一組無害的字詞,例如 horsekeys.php、potatolake.php 等。其中的惡意 .php 檔案可能很常見,我們之後需要追蹤這些檔案,並在之後移除。
步驟 3
將所有 .htaccess 檔案替換為乾淨或預設版本的 .htaccess 檔案。一般來說,只要搜尋「預設 .htaccess 檔案」和 CMS 名稱,即可找到預設的 .htaccess 檔案版本。如果網站有多個 .htaccess 檔案,請找出每個檔案的乾淨版本,然後執行取代作業。
如果沒有預設的 .htaccess,而您從未在網站上設定 .htaccess 檔案,那麼網站上找到的 .htaccess 檔案可能屬於惡意性質。請離線儲存 .htaccess 檔案副本,以備不時之需,
並刪除網站上的這個 .htaccess 檔案。
找出其他惡意檔案並予以移除 (5 個步驟)
找出惡意檔案並不容易,可能需要數小時。請耐心檢查檔案。如果您尚未備份網站上的檔案,可以趁現在。透過 Google 搜尋「備份網站」和您的 CMS 名稱,尋找如何備份網站的操作說明。
步驟 1
如果您使用 CMS,請重新安裝 CMS 預設發布版本中的所有核心 (預設) 檔案,以及您是否新增的內容 (例如主題、模組、外掛程式)。確保這些檔案完全不含遭入侵的內容。您可以透過 Google 搜尋「重新安裝」和您的 CMS 名稱,尋找重新安裝程序的相關操作說明。如有任何外掛程式、模組、擴充功能或主題,請務必一併重新安裝。
步驟 2
首先,請尋找您先前在 .htaccess 檔案中找到的 .php 檔案。視您存取伺服器上檔案的方式而定,您應具備某些類型的搜尋功能。請搜尋惡意的檔案名稱。如果找到的話,請先建立備份副本並儲存在其他位置 (以免需要還原),然後再從網站上刪除。
步驟 3
尋找是否有其他任何惡意或遭駭檔案。您可能已經移除了上述兩個步驟中的所有惡意檔案,但最好還是執行接下來的幾個步驟,以免網站上有其他遭駭檔案。
請別誤以為您必須開啟並檢視每個 PHP 檔案。首先,建立要調查的可疑 PHP 檔案清單。判別可疑的 PHP 檔案時,可以採用以下這些方法:
- 如果您已重新載入 CMS 檔案,請只查看不屬於預設 CMS 檔案或資料夾的檔案。這樣可以排除大量的 PHP 檔案,只剩一些檔案需要查看。
- 依上次修改日期排序您網站上的檔案,找出修改時間與您首次發現網站遭到入侵的時間不到幾個月的檔案。
- 依大小排序您網站上的檔案,找出所有特別大的檔案。
步驟 4
建立可疑的 PHP 檔案清單後,請確認這些檔案是否為惡意檔案。如果您對 PHP 不熟悉,可能需要花費更多時間,不妨先溫習一些 PHP 說明文件。如果您是編寫程式碼的新手,建議您取得協助。同時,您可以尋找一些基本模式,以識別惡意檔案。
如果您使用 CMS,而且沒有直接編輯這些檔案的習慣,請將伺服器上的檔案與 CMS 封裝的預設檔案清單和任何外掛程式和主題進行比較。尋找多出的檔案,以及大小比預設尺寸更大的檔案。
首先,請掃描您已找出的可疑檔案,找出由看似雜亂的字母和數字組合的大段文字。這類大型文字的前方通常會加上 PHP 函式的組合,例如 base64_decode、rot13、eval、strrev、gzinflate。此程式碼區塊可能如下所示。有時這些程式碼會填充成一長串文字,看起來比實際上更小。
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of texts. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
有時程式碼並不會亂動,看起來就像普通指令碼。如果您不確定程式碼是否不佳,請前往網站管理員說明論壇求助,請經驗豐富的網站管理員們協助您檢查檔案。
步驟 5
現在您已知道有哪些檔案屬於可疑檔案,請建立備份或本機副本,方法是將這些檔案儲存在電腦上,以免其中並非惡意檔案,再刪除可疑檔案。
檢查網站是否沒有惡意內容
清理完遭到入侵的檔案後,請查看您的努力是否奏效。還記得您稍早找到了一些充斥胡言亂語的網頁嗎? 請再次使用 Google 模擬器檢查這些網頁,看看是否仍然存在。 如果 Google 模擬器傳回「找不到」的回覆,就表示您的狀況良好,可以著手修正網站的安全漏洞。
如何避免再次遭到入侵?
修正網站的安全漏洞是修正網站的最後一步,也是重要的一步。最近一項研究發現,遭到入侵的網站中有 20% 會在 1 天內再次遭到入侵。確切瞭解網站遭到入侵的方式實在很有幫助請參閱垃圾內容發布者入侵網站的常見方式指南,針對安全漏洞展開調查。不過,如果您無法找出網站遭到入侵的方式,請參考以下檢查清單,瞭解可減少網站安全漏洞的方法。
- 定期掃描電腦:使用任何常用的病毒掃描工具,檢查有無病毒或安全漏洞。
- 定期變更密碼:定期變更所有網站帳戶 (例如代管服務供應商、FTP 和 CMS) 的密碼可防止他人在未經授權的情況下存取您的網站。請務必為每個帳戶建立非重複的高強度密碼。
- 使用雙重驗證 (2FA):建議您為所有需要登入的服務啟用 2FA。這樣一來,即使駭客成功竊取您的密碼,仍然不易登入。
- 定期更新 CMS、外掛程式、擴充功能和模組:希望您已經完成這個步驟。許多網站 是因為執行的軟體版本過舊而遭到入侵部分 CMS 支援自動更新功能。
- 考慮訂閱安全性服務,協助您監控網站: 有許多優質服務可協助您監控網站,且費用不高。建議您註冊這類服務,確保您的網站安全無虞。
其他資源
如果您仍然無法順利修正網站,還有一些資源可能對您有所幫助。
這些工具會掃描您的網站,協助您找到有問題的內容。 不過,除了 VirusTotal Google 提供的工具,Google 並未對其他工具提供支援。
Virus Total、Aw-snap.info、Sucuri Site Check、Quttera:這些工具都能為您掃描網站,協助找出問題內容。請記住,這些掃描工具不一定能識別所有類型的問題內容。
Google 另外提供了以下資源,可能對您有所幫助: