Questa guida è stata creata specificamente per un tipo di compromissione che crea testo giapponese generato automaticamente sul tuo sito, che chiameremo compromissione con parola chiave giapponese. È progettata per gli utenti di Sistemi di gestione dei contenuti (CMS), ma troverai utile questa guida anche se non usi un CMS.
Vogliamo assicurarci che questa guida ti sia davvero utile. Lascia un feedback per aiutarci a migliorare.
Identifica questo tipo di compromissione
La compromissione con parole chiave giapponesi in genere crea nuove pagine con contenuti generati automaticamente
Testo giapponese sul tuo sito in nomi di directory generati casualmente
(ad esempio http://example.com/ltjmnjp/341.html
). Queste pagine sono
Monetizzazione tramite link di affiliazione a negozi che vendono articoli di merchandising falsi
e mostrato nella Ricerca Google. Ecco un esempio di come si presenta una di queste pagine:
Con questo tipo di compromissione, l'hacker in genere si aggiunge come proprietà proprietario in Search Console, per aumentare i profitti manipolando come targeting geografico o Sitemap. Se hai ricevuto una notifica che indica che qualcuno che non conosci verificato il tuo sito in Search Console, esiste una forte probabilità che il tuo sito sia stato compromesso.
Per iniziare, controlla
Problemi di sicurezza
di Search Console per verificare se Google ha rilevato una di queste pagine compromesse
sul tuo sito. A volte, puoi anche scoprire pagine come questa aprendo un
Cerca nella finestra e digitando site:_your site url_
, con l'URL di livello principale
nel tuo sito. In questo modo vedrai le pagine che Google ha indicizzato per il tuo sito,
incluse le pagine compromesse. Scorri un paio di pagine di risultati di ricerca per
individua URL insoliti. Se non vedi contenuti compromessi in Google
Cerca, utilizza gli stessi termini di ricerca con un altro motore di ricerca. Ecco un
dell'esempio seguente:
In genere, quando fai clic su un link che rimanda a una pagina compromessa, ricevi vengono reindirizzati a un altro sito o visualizzano una pagina piena di contenuti senza senso. Tuttavia, potresti anche visualizzare un messaggio che indica che la pagina non esiste (ad ad esempio un errore 404). Non farti ingannare! Gli hacker cercheranno di indurti con l'inganno che la pagina non è più disponibile o è stata corretta quando è ancora stata compromessa. Per farlo cloaking contenuti. Per verificare l'eventuale presenza del cloaking, inserisci gli URL del tuo sito nella strumento Controllo URL. Lo strumento Visualizza come Google ti consente di visualizzare i contenuti nascosti sottostanti.
Se riscontri questi problemi, è molto probabile che il tuo sito sia stato interessato da questo tipo di hackerare.
Risolvi l'attacco di pirateria informatica
Prima di iniziare, crea una copia offline dei file prima di rimuoverli, in in caso di necessità di ripristinarli in un secondo momento. Meglio ancora, esegui il backup dell'intero sito prima del giorno di avviare il processo di pulizia. Puoi farlo salvando tutti i file sul tuo server a una posizione fuori dal tuo server o alla ricerca della soluzione di backup migliore opzioni per il tuo sistema di gestione dei contenuti (CMS). Se utilizzi un CMS, eseguirà anche il backup del database.
Rimuovere gli account di nuova creazione da Search Console
Se un nuovo proprietario che non riconosci è stato aggiunto alla tua Search Console di revocare l'accesso appena possibile. Puoi controllare quali utenti siano state verificate per il tuo sito nella Pagina di verifica di Search Console. Fai clic su "Dettagli verifica". per consentire al sito di visualizzare tutti gli utenti verificati.
Per rimuovere un proprietario da Search Console, consulta la sezione
sezione del
Centro assistenza per la gestione di utenti, proprietari e autorizzazioni.
Dovrai rimuovere il token di verifica associato, che in genere è
un file HTML nella directory principale del tuo sito oppure un file generato dinamicamente
.htaccess
che imita un file HTML.
Se non riesci a trovare un token di verifica HTML sul tuo sito, controlla se è disponibile una riscrittura
nel tuo file .htaccess
. La regola di riscrittura sarà simile alla seguente:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Per rimuovere il token di verifica generato dinamicamente da .htaccess
procedi nel seguente modo:
Controlla il file .htaccess
(2 passaggi)
Oltre a utilizzare un file .htaccess
per creare una verifica generata dinamicamente
token, gli hacker usano spesso le regole .htaccess
per reindirizzare gli utenti o creare
pagine contenenti spam e contenuti senza senso. A meno che tu non abbia regole .htaccess
personalizzate, valuta
sostituendo il tuo .htaccess
con una copia completamente nuova.
Passaggio 1
Individua il file .htaccess
sul tuo sito. Se non sai dove trovarlo
e utilizzi un CMS come WordPress, Joomla o Drupal, cerca
"Posizione file .myactivity" in un motore di ricerca insieme al nome del tuo CMS.
A seconda del sito, potresti vedere più file .htaccess
.
Crea un elenco di tutte le .htaccess
posizioni dei file.
Passaggio 2
Sostituisci tutti i file .htaccess
con una versione pulita o predefinita di .htaccess
. Di solito è possibile trovare una versione predefinita di un file .htaccess
cercando
per "file .htaccess
predefinito" e il nome del tuo CMS. Per i siti con più
.htaccess
, trova una versione pulita di ognuno e sostituiscili.
Se non esiste un .htaccess
predefinito e non hai mai configurato un .htaccess
sul tuo sito, il file .htaccess
che trovi sul tuo sito probabilmente
dannoso. Salva una copia di .htaccess
file offline per sicurezza e
elimina il file .htaccess
dal sito.
Rimuovere tutti gli script e i file dannosi (4 passaggi)
L'identificazione dei file dannosi può essere complessa e richiedere molto tempo. Prendi il tuo quando controlli i file. Se non l'hai ancora fatto, è il momento giusto per riprendere i file sul tuo sito. Esegui una ricerca su Google con i termini "backup sito". e il nome di il tuo CMS per trovare istruzioni su come eseguire il backup del tuo sito.
Passaggio 1
Se utilizzi un CMS, reinstalla tutti i file principali (predefiniti) presenti nel distribuzione predefinita del tuo CMS, nonché qualsiasi elemento che hai aggiunto (ad esempio temi, moduli o plug-in). Questo aiuta a garantire che questi file siano privi di contenuti compromessi. Puoi eseguire una ricerca su Google per "reinstallare" e il nome del tuo CMS le istruzioni per la reinstallazione. Se hai plug-in, moduli, estensioni, o temi, assicurati di reinstallare anche questi.
Passaggio 2
Spesso gli hacker modificano la tua Sitemap o ne aggiungono di nuove per agevolare il URL indicizzati più rapidamente. Se in precedenza avevi un file Sitemap, controlla il file per eventuali link sospetti e rimuovili dalla Sitemap. Se esistono file Sitemap che non ricordi di aver aggiunto al tuo sito, ricontrollali li rimuovi se contengono solo URL contenenti spam.
Passaggio 3
Verifica la presenza di altri file dannosi o compromessi. Potresti aver già rimosso tutti i file dannosi nei due passaggi precedenti, ma è preferibile lavorare questi passaggi nel caso in cui sul sito siano presenti altri file con è stato compromesso.
Non farti confondere dal pensiero che devi aprire ed esaminare ogni PHP. Per iniziare, crea un elenco dei file PHP sospetti che desideri indagare. Di seguito sono indicate alcune modalità per determinare quali file PHP sono sospetti:
- Se hai già ricaricato i file del CMS, controlla solo i file che non fanno parte dei file o delle cartelle CMS predefiniti. Questo dovrebbe escludere molti file PHP lasciandoti solo una manciata di file da esaminare.
- Ordina i file presenti sul sito in base alla data dell'ultima modifica. Cerca file che sono stati modificati entro alcuni mesi dalla tua prima abbiamo scoperto che il tuo sito è stato compromesso.
- Ordina i file presenti sul sito in base alle dimensioni. Cerca i file di dimensioni insolitamente grandi.
Passaggio 4
Dopo aver ottenuto un elenco dei file PHP sospetti, verifica che non siano presenti contenuti dannosi. Se non hai dimestichezza con PHP, questa procedura potrebbe richiedere più tempo, pertanto valuta la possibilità di rileggere la documentazione relativa ai file PHP. Se non hai mai utilizzato la programmazione, ti consigliamo di ricevere assistenza. Nel frattempo, puoi cercare alcuni modelli di base per identificare file dannosi.
Se utilizzi un CMS e non hai l'abitudine di modificare direttamente i file PHP, i file sul tuo server con un elenco dei file predefiniti pacchettizzati il CMS ed eventuali plug-in e temi. Cerca i file che non appartengono e che più grandi della loro versione predefinita.
Esamina i file sospetti che hai già identificato per cercare i blocchi
di codice offuscato. Potrebbe trattarsi di una combinazione di
lettere e numeri, solitamente preceduti da una combinazione di funzioni PHP come
base64_decode
, rot13
, eval
, strrev
o gzinflate
. Ecco un esempio di
come potrebbe essere il blocco di codice. A volte questo codice è sovraccarico
in una lunga riga di testo, in modo che sembri più piccolo di quanto non sia in realtà.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Controlla se il sito è pulito
Dopo aver eliminato i file compromessi, controlla se il tuo impegno ha ripagato. Ricordi le pagine senza senso che hai identificato in precedenza? Utilizzare il metodo di recupero come strumento Google per vedere se esistono ancora. Se la risposta è "Non trovato" in Visualizza come Google, è probabile che è buona e puoi passare alla correzione delle vulnerabilità del tuo sito.
Come faccio a evitare future compromissioni?
La correzione delle vulnerabilità sul sito è l'ultimo passaggio essenziale per sito. Da un recente studio è emerso che il 20% dei siti compromessi subisce di nuovo un attacco un giorno. È quindi utile sapere esattamente come è stato compromesso il tuo sito. Leggi le nostre Principali modalità di compromissione dei siti web da parte degli spammer per iniziare la tua indagine. Tuttavia, se non riesci a capire come il tuo sito è stato compromesso, di seguito è riportato un elenco di controllo delle cose che puoi fare per per ridurre le vulnerabilità del sito.
- Esegui regolarmente la scansione del computer: utilizza uno dei programmi antivirus più diffusi per verificare alla ricerca di virus o vulnerabilità.
- Cambia regolarmente le password:cambia regolarmente le password in tutti gli account del tuo sito web, come il provider host, l'FTP e il CMS, impedire l'accesso non autorizzato al sito. È importante creare un'infrastruttura una password univoca per ogni account.
- Utilizza Autenticazione a due fattori (2FA): Valuta la possibilità di attivare l'autenticazione a due fattori (2FA) su tutti i servizi che richiedono l'accesso. 2FA rende più difficile l'accesso per gli hacker anche se rubano la tua password.
- Aggiorna regolarmente il CMS, i plug-in, le estensioni e i moduli: Ci auguriamo che tu abbia già completato questo passaggio. Molti siti vengono compromessi perché stanno eseguendo software obsoleto. In alcuni sistemi di gestione dei contenuti è supportato l'aggiornamento automatico.
- Valuta la possibilità di abbonarti a un servizio di sicurezza per monitorare il tuo sito: Sono disponibili molti servizi eccellenti che possono aiutarti a monitorare sito pagando una piccola commissione. Per mantenere sicuro il tuo sito, valuta se registrarti a tali servizi.
Risorse aggiuntive
Se continui a riscontrare problemi con la correzione del sito, puoi provare risorse che potrebbero esserti utili.
Questi strumenti analizzano i siti e potrebbero riuscire a rilevare contenuti problematici. Google non li esegue e non li supporta, ad eccezione dello strumento VirusTotal.
Questi sono solo alcuni strumenti che potrebbero essere in grado di eseguire la scansione del tuo sito alla ricerca contenuti. Tieni presente che questi scanner non garantiscono la identificare ogni tipo di contenuto problematico.
Ecco alcune risorse aggiuntive di Google che potrebbero essere utili:
di Gemini Advanced.