תיקון פריצה מסוג ג'יבריש

המדריך הזה נוצר במיוחד עבור סוג של פריצה שמוסיף לאתר דפי ג'יבריש שמכילים הרבה מילות מפתח. נתייחס לפריצה הזו בתור פריצה של ג'יבריש. המדריך מיועד למשתמשים במערכות פופולריות לניהול תוכן (CMS), אבל הוא שימושי גם אם אתם לא משתמשים במערכת ניהול תוכן.

הפריצה מסוג 'ג'יבריש' יוצרת באופן אוטומטי הרבה דפים באתר עם משפטים לא הגיוניים שמלאים במילות מפתח. אלה דפים שלא יצרתם, אבל יש להם כתובות URL שעשויות לעודד משתמשים ללחוץ עליהן. האקרים עושים זאת כדי שהדפים שנפרצו יופיעו בחיפוש Google. לאחר מכן, אם אנשים ינסו להיכנס לדפים האלה, הם יועברו לדף לא קשור. האקרים מרוויחים כסף כשאנשים נכנסים לדפים הלא קשורים האלה. ריכזנו כאן כמה דוגמאות לסוגים של קבצים שעשויים להופיע באתר שהותקף על ידי הפריצה של הטקסט הלא מובן:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

לפעמים הם מופיעים בתיקייה שמכילה תווים אקראיים, ומשתמשים בשפות שונות:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

קודם כול, כדאי לבדוק את הכלי בעיות אבטחה ב-Search Console כדי לראות אם Google זיהתה באתר שלכם דפים שנפרצו. לפעמים אפשר למצוא דפים כאלה גם על ידי פתיחת חלון של חיפוש Google והקלדה של site:_your site url_, יחד עם כתובת ה-URL ברמת הבסיס של האתר. בדוח יוצגו הדפים ש-Google הוסיפה לאינדקס של האתר, כולל הדפים שנפרצו. עיינו בכמה דפים של תוצאות החיפוש כדי לראות אם אתם מזהים כתובות URL לא רגילות. אם לא מופיע תוכן שנפרץ בחיפוש Google, השתמשו באותם מונחי חיפוש במנוע חיפוש אחר. דוגמה למראה של הקוד:

תוצאות חיפוש שמציגות דפים מהפריצה הזו.
הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשלוחצים על קישור לדף שנפרץ, מופיעה הפניה לאתר אחר או שמוצג דף מלא בתוכן לא מובן. עם זאת, יכול להיות שתופיע גם הודעה שמציינת שהדף לא קיים (לדוגמה, שגיאה מסוג 404). אל תתנו לזה להטעות אתכם! האקרים ינסו להטעות אתכם ולגרום לכם לחשוב שהדף לא קיים או תוקן, בזמן שהוא עדיין נפרץ. הם עושים זאת באמצעות הסוואה של תוכן. כדי לבדוק אם יש הטעיה, מזינים את כתובות ה-URL של האתר בכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לכם לראות את התוכן המוסתר הבסיסי.

אם אתם רואים את הבעיות האלה, סביר להניח שהאתר שלכם נפגע מהסוג הזה של פריצה.

תיקון הפריצה

לפני שמתחילים, כדאי ליצור עותק אופליין של כל הקבצים לפני שמסירים אותם, למקרה שיהיה צורך לשחזר אותם מאוחר יותר. עדיף לגבות את האתר כולו לפני שמתחילים בתהליך הניקוי. כדי לעשות זאת, אפשר לשמור את כל הקבצים שנמצאים בשרת במיקום מחוץ לשרת, או לחפש את אפשרויות הגיבוי הטובות ביותר למערכת ניהול התוכן (CMS) הספציפית שלכם. אם אתם משתמשים במערכת ניהול תוכן (CMS), עליכם לגבות גם את מסד הנתונים.

בדיקת הקובץ .htaccess (2 שלבים)

הפריצה של 'ג'יבריש' מפנה מבקרים מהאתר שלכם באמצעות הקובץ .htaccess.

שלב 1

מאתרים את קובץ .htaccess באתר. אם אתם לא בטוחים איפה הוא נמצא ואתם משתמשים במערכת ניהול תוכן כמו WordPress,‏ Joomla או Drupal, תוכלו לחפש במנוע חיפוש את 'מיקום הקובץ ‎.htaccess' יחד עם שם מערכת ניהול התוכן. בהתאם לאתר, יכול להיות שיופיעו כמה קבצים מסוג .htaccess. יוצרים רשימה של כל המיקומים של הקבצים של .htaccess.

שלב 2

מחליפים את כל הקבצים מסוג .htaccess בגרסה נקייה או בגרסה שמוגדרת כברירת מחדל של הקובץ .htaccess. בדרך כלל אפשר למצוא את גרסת ברירת המחדל של קובץ .htaccess על ידי חיפוש של 'קובץ .htaccess ברירת מחדל' ושם המערכת לניהול תוכן. באתרים עם כמה קבצים מסוג .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולהחליף אותם.

אם לא קיים קובץ .htaccess שמוגדר כברירת מחדל ואף פעם לא הגדרתם קובץ .htaccess באתר, סביר להניח שקובץ .htaccess שנמצא באתר שלכם הוא זדוני. לשמור עותק של קובצי .htaccess במצב אופליין למקרה הצורך, ולמחוק את הקובץ .htaccess מהאתר.

איתור והסרה של קבצים זדוניים אחרים (5 שלבים)

זיהוי קבצים זדוניים יכול להיות מסובך ולקחת הרבה זמן. כדאי להקדיש זמן לבדיקה של הקבצים. אם עדיין לא עשיתם זאת, זה הזמן לגבות את הקבצים באתר. מחפשים ב-Google את הביטוי 'גיבוי אתר' ואת שם מערכת ניהול התוכן כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, צריך להתקין מחדש את כל קבצי הליבה (ברירת המחדל) שמגיעים עם חלוקת ברירת המחדל של מערכת ניהול התוכן, וגם כל מה שהוספתם (כמו עיצובים, מודולים ופלאגינים). כך אפשר לוודא שהקבצים האלה לא מכילים תוכן שנפרץ. אפשר לחפש ב-Google את המילים 'התקנה מחדש' ואת שם מערכת ניהול התוכן כדי למצוא הוראות להתקנה מחדש. אם יש לכם תוספים, מודולים, תוספי צד שלישי או עיצובים, חשוב להתקין אותם מחדש.

שלב 2

עכשיו צריך לחפש קבצים זדוניים או קבצים שנפרצו שנותרו. זהו החלק הקשה ביותר בתהליך וגוזל הכי הרבה זמן, אבל אחריו כמעט סיימתם.

בדרך כלל, הפריצה הזו משאירה שני סוגי קבצים: קובצי .txt וקובצי ‎ .php. קבצים מסוג .txt הם קבצי תבנית, וקבצים מסוג .php קובעים איזה סוג תוכן לא הגיוני יהיה טעון באתר.

מתחילים לחפש את הקבצים מסוג .txt. בהתאם לאופן שבו אתם מתחברים לאתר, אמור להופיע סוג כלשהו של תכונת חיפוש לקבצים. מחפשים את הסיומת 'txt.‎' כדי להציג את כל הקבצים עם הסיומת .txt. רוב הקבצים האלה יהיו קבצים חוקיים, כמו הסכמי רישיון או קובצי readme. אתם מחפשים קבוצה של קובצי .txt שמכילים קוד HTML שמשמש ליצירת תבניות ספאם. בהמשך מופיעים קטעי קוד שונים שעשויים להופיע בקבצים האלה של .txt זדוניים.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

האקרים משתמשים בהחלפת מילות מפתח כדי ליצור את הדפים עם תוכן הספאם. סביר להניח שתראו מילה כללית כלשהי שאפשר להחליף אותה בכל הקובץ שנפרץ.

בנוסף, רוב הקבצים האלה מכילים סוג כלשהו של קוד שמציב קישורים וספאם וטקסט ספאם מחוץ לדף הגלוי.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

מסירים את .txt הקבצים האלה. אם כולם נמצאים באותה תיקייה, מסירים את התיקייה כולה.

שלב 3

קשה יותר לאתר את קובצי ה-PHP הזדוניים. יכול להיות שבאתר שלכם יש קובץ PHP זדוני אחד או כמה. הם יכולים להיכלל באותה תיקיית משנה או להיות מפוזרים ברחבי האתר.

אל תיבהלו מהמחשבה שאתם צריכים לפתוח ולעיין בכל קובץ PHP. מתחילים ביצירת רשימה של קובצי PHP חשודים שרוצים לבדוק. ריכזנו כאן כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

  • מאחר שכבר טעינת מחדש את קובצי ה-CMS, צריך לחפש רק קבצים שלא נכללים בתיקיות או בקובצי ברירת המחדל של ה-CMS. הפעולה הזו אמורה להסיר מספר גדול של קובצי PHP ולהשאיר לכם כמה קבצים לבדיקה.
  • ממיינים את הקבצים באתר לפי תאריך השינוי האחרון. מחפשים קבצים ששונו בחודשים הראשונים לאחר גילוי הפריצה לאתר.
  • ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים באופן חריג.

שלב 4

אחרי שתקבלו רשימה של קובצי PHP חשודים, עליכם לבדוק אם הם זדוניים. אם אתם לא מכירים את PHP, התהליך הזה עשוי להימשך זמן רב יותר, לכן מומלץ לקרוא מסמכי עזרה בנושא PHP. אם אתם מתחילים בתחום התכנות, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן ואתם לא עורכים את הקבצים האלה ישירות, כדאי להשוות בין הקבצים בשרת לבין רשימת קבצי ברירת המחדל שכלולים בחבילת מערכת ניהול התוכן, וכן בין הקבצים של הפלאגינים והעיצובים. מחפשים קבצים שלא שייכים לאפליקציה, וגם קבצים גדולים יותר מהגרסה שמוגדרת כברירת מחדל.

קודם כול, בודקים את הקבצים החשודים שכבר זיהיתם כדי לחפש קטעי טקסט גדולים עם שילוב של אותיות ומספרים שנראים כאילו הם מעורבבים. בדרך כלל, לפני בלוק הטקסט הגדול מופיעה שילוב של פונקציות PHP כמו base64_decode, ‏ rot13, ‏ eval, ‏ strrev או gzinflate. דוגמה למראה של בלוק הקוד הזה. לפעמים כל הקוד הזה יאוחסן בשורה אחת ארוכה של טקסט, כך שהוא ייראה קטן יותר ממה שהוא באמת.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

לפעמים הקוד לא מבולבול ופשוט נראה כמו סקריפט רגיל. אם אתם לא בטוחים שהקוד פגום, תוכלו להיכנס אל קהילת העזרה של Google Search Central, שבה קבוצה של מנהלי אתרים מנוסים יכולה לעזור לכם לבדוק את הקבצים.

שלב 5

עכשיו, אחרי שזיהיתם אילו קבצים חשודים, עליכם ליצור עותק לגיבוי או עותק מקומי על ידי שמירתם במחשב, למקרה שאחד מהקבצים לא זדוני, ולמחוק את הקבצים החשודים מהאתר.

בדיקה אם האתר נקי

אחרי שמסיימים להסיר את הקבצים שנפרצו, כדאי לבדוק אם המאמץ השתלם. זוכרים את הדפים עם הטקסט הלא ברור שזיהיתם מקודם? צריך להשתמש שוב בכלי 'אחזור כמו Google' כדי לבדוק אם הם עדיין קיימים. אם התשובה היא 'לא נמצא' ב'אחזור כפי ש-Google עושה', סביר להניח שהאתר שלכם במצב טוב ותוכלו להמשיך לתקן את נקודות החולשה באתר.

איך אפשר למנוע פריצה חוזרת?

תיקון נקודות החולשה באתר הוא השלב האחרון והחיוני בתיקון האתר. מחקר שנערך לאחרונה מצא ש-20% מהאתרים שנפרצו נפרצים שוב תוך יום אחד. חשוב לדעת בדיוק איך האתר נפרץ. כדי להתחיל את החקירה, מומלץ לעיין במדריך שלנו בנושא הדרכים המובילות שבהן אתרים נפרצים על ידי שולחי ספאם. עם זאת, אם אתם לא מצליחים להבין איך האתר נפרץ, הנה רשימת משימות שתוכלו לבצע כדי לצמצם את נקודות החולשה באתר:

  • סריקת המחשב באופן קבוע: כדאי להשתמש בסורק וירוסים פופולרי כלשהו כדי לבדוק אם יש וירוסים או נקודות חולשה.
  • שינוי הסיסמה באופן קבוע: שינוי קבוע של הסיסמאות לכל החשבונות של האתר, כמו ספק האירוח, ה-FTP וה-CMS, יכול למנוע גישה לא מורשית לאתר. חשוב ליצור סיסמה חזקה וייחודית לכל חשבון.
  • שימוש באימות דו-שלבי (2FA): כדאי להפעיל אימות דו-שלבי בכל שירות שבו אתם נדרשים להיכנס. אימות דו-שלבי מקשה על האקרים להיכנס לחשבון, גם אם הם מצליחים לגנוב את הסיסמה.
  • עדכון קבוע של מערכת ניהול התוכן, הפלאגינים, התוספים והמודולים: אם לא, כדאי לעשות זאת. הרבה אתרים נפרצים כי הם פועלים עם תוכנות מיושנות. חלק ממערכות ניהול התוכן תומכות בעדכון אוטומטי.
  • כדאי להירשם לשירות אבטחה כדי לעקוב אחרי האתר: יש הרבה שירותים מעולים שיכולים לעזור לכם לעקוב אחרי האתר בתשלום קטן. מומלץ להירשם אליהם כדי לשמור על אבטחת האתר.

מקורות מידע נוספים

אם עדיין נתקלת בבעיות בתיקון האתר, יש עוד כמה מקורות מידע שיכולים לעזור לך.

הכלים האלה סורקים את האתר שלכם ויכולים למצוא תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה או תומכת בהם.

אלה רק כמה כלים שיכולים לסרוק את האתר שלכם כדי לאתר תוכן בעייתי. חשוב לזכור שאי אפשר להבטיח שהסורקים האלה יזהו כל סוג של תוכן בעייתי.

ריכזנו כאן מקורות מידע נוספים של Google שיכולים לעזור לך: