Jak naprawić szkody spowodowane atakiem wykorzystującym japońskie słowa kluczowe

Ten przewodnik został opracowany specjalnie w odniesieniu do typu ataku polegającego na automatycznie generowanym tekstem w języku japońskim, który będzie nazywany hakerskie słowa kluczowe w języku japońskim. Została stworzona z myślą o użytkownikach popularnych aplikacji systemy zarządzania treścią (CMS), , ale ten przewodnik może Ci się przydać, nawet jeśli nie korzystasz z systemu CMS.

Chcemy mieć pewność, że ten przewodnik będzie naprawdę przydatny. Prześlij opinię aby pomóc nam ją ulepszyć.

Zidentyfikuj ten typ ataku

Ataki hakerskie związane z japońskimi słowami kluczowymi zwykle tworzą nowe strony z automatycznie generowanymi Japoński tekst w witrynie w losowo generowanych katalogach (na przykład http://example.com/ltjmnjp/341.html). Te strony są zarabiają przy użyciu linków partnerskich do sklepów sprzedających podróbki produktów marki a potem wyświetlają się w wyszukiwarce Google. Oto przykład, jak może wyglądać jedna z tych stron:

Przykład strony z atakem hakerów na japońskie słowa kluczowe.
Strona z tekstem wygenerowanym w wyniku ataku na japońskie słowa kluczowe.

W przypadku tego typu ataku haker zwykle dodaje siebie jako usługę w Search Console, by zwiększyć zyski dzięki manipulowaniu takie jak ustawienia kierowania geograficznego czy mapy witryn. Jeśli otrzymasz powiadomienie, że ktoś, kogo nie znasz, zweryfikowaliśmy Twoją witrynę w Search Console, istnieje duże prawdopodobieństwo, że Twoja witryna została zaatakowana przez hakera.

Zacznij od sprawdzenia Problemy dotyczące bezpieczeństwa za pomocą narzędzia Search Console, by sprawdzić, czy Google znajduje zaatakowane strony w Twojej witrynie. Czasem takie strony można też wykryć, otwierając Google Wyszukaj w oknie i wpisz site:_your site url_, a adres URL poziomu głównego to w Twojej witrynie. Wyświetlą się strony zindeksowane przez Google w Twojej witrynie łącznie z zaatakowanymi przez hakerów stronami. Przejrzyj kilka stron wyników wyszukiwania, aby znaleźć sprawdź, czy nie występują jakieś nietypowe adresy URL. Jeśli nie widzisz w Google żadnych zhakowanych treści Wyszukiwarka, użyj tych samych haseł w innej wyszukiwarce. Oto jak to wygląda:

Przykład witryny zaatakowanej przez hakerów.
Zhakowane strony pojawiają się w wynikach wyszukiwania Google.
.

Zazwyczaj, gdy klikniesz link do strony zaatakowanej przez hakerów, przekierowuje użytkownika do innej witryny lub wyświetla stronę pełną bezsensownych treści. Pamiętaj jednak: możesz również zobaczyć komunikat sugerujący, że strona nie istnieje (w przypadku np. błąd 404). Nie daj się oszukać. Hakerzy spróbują Cię nakłonić że strona zniknęła lub została naprawiona, mimo że została zaatakowana przez hakerów. Robią to przez maskowanie treści. Aby sprawdzić, czy witryna nie ma maskowania, wpisz adresy URL witryny w sekcji Narzędzie do sprawdzania adresów URL. Narzędzie Pobierz jako Google pozwala zobaczyć ukryte treści.

Jeśli napotkasz te problemy, najprawdopodobniej przyczyną problemów z witryną jest zaatakować witrynę.

Usuń problem

Zanim zaczniesz, zrób kopię offline plików, zanim je usuniesz. może być konieczne ich przywrócenie. Jeszcze lepiej jest utworzyć kopię zapasową całej witryny przed gdy rozpoczniesz proces czyszczenia. Możesz to zrobić, zapisując wszystkie pliki, które na serwerze do lokalizacji poza serwerem lub w poszukiwaniu najlepszej kopii zapasowej opcje odpowiednie dla Twojego systemu zarządzania treścią (CMS). Jeśli używasz tagu CMS, utwórz też kopię zapasową bazy danych.

Usuwanie nowych kont z Search Console

Jeśli do Twojego Search Console został dodany nowy właściciel, którego nie rozpoznajesz jak najszybciej odbierz im dostęp. Możesz sprawdzić, którzy użytkownicy Twojej witryny zostały zweryfikowane Strona weryfikacji w Search Console. Kliknij „Szczegóły weryfikacji”. aby wyświetlić wszystkich zweryfikowanych użytkowników witryny.

Aby usunąć właściciela z Search Console, zapoznaj się z sekcją Usuwanie właściciela strony Zarządzanie użytkownikami, właścicielami i uprawnieniami w Centrum pomocy Musisz usunąć powiązany token weryfikacyjny, który zwykle jest pliku HTML w katalogu głównym witryny lub generowanego dynamicznie .htaccess imitujący plik HTML.

Jeśli nie możesz znaleźć tokena weryfikacyjnego HTML w swojej witrynie, poszukaj kodu weryfikacyjnego w pliku .htaccess. Reguła przepisywania będzie wyglądać mniej więcej tak:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Aby usunąć dynamicznie generowany token weryfikacyjny z .htaccess , wykonaj te czynności:

Sprawdź plik .htaccess (2 kroki)

Oprócz korzystania z pliku .htaccess do dynamicznego generowania weryfikacji hakerzy często używają reguł .htaccess, aby przekierowywać użytkowników lub tworzyć spamerskie bezsensowne strony. Jeśli nie masz niestandardowych reguł .htaccess, rozważ zastępując .htaccess całkowicie nową kopią.

Krok 1

Zlokalizuj plik .htaccess w swojej witrynie. Jeśli nie wiesz, gdzie go znaleźć i używasz systemu CMS takiego jak WordPress, Joomla lub Drupal, wyszukaj hasło „Lokalizacja pliku .json” w wyszukiwarce wraz z nazwą systemu CMS. W zależności od witryny możesz zobaczyć kilka plików .htaccess. Utwórz listę wszystkich lokalizacji plików .htaccess.

Krok 2

Zastąp wszystkie pliki (.htaccess) czystą lub domyślną wersją pakietu .htaccess . Domyślną wersję pliku .htaccess można zwykle znaleźć, wyszukując je dla „domyślnego pliku .htaccess” i nazwę systemu CMS. Witryny z wieloma .htaccess, znajdź czystą wersję każdego z nich i zastąp je.

Jeśli nie ma domyślnego ustawienia .htaccess, a .htaccess nie zostało skonfigurowane plik .htaccess znaleziony w Twojej witrynie jest prawdopodobnie złośliwych. Zapisz kopię plików .htaccess offline na wszelki wypadek i usuń plik .htaccess ze swojej witryny.

Usuwanie wszystkich złośliwych plików i skryptów (cztery kroki)

Rozpoznawanie złośliwych plików może być trudne i czasochłonne. Weź podczas sprawdzania plików. To dobry moment, żeby wrócić pliki w witrynie. Wyszukaj w Google „kopia zapasowa witryny” oraz nazwa system CMS, by dowiedzieć się, jak utworzyć kopię zapasową witryny.

Krok 1

Jeśli używasz systemu CMS, ponownie zainstaluj wszystkie podstawowe (domyślne) pliki zawarte w domyślnej dystrybucji Twojego systemu CMS i wszystkich dodanych przez Ciebie elementów (np. (motywy, moduły i wtyczki). Dzięki temu będziesz mieć pewność, że pliki te nie zawierają zaatakowaną przez hakerów. Można wyszukać w Google hasło „reinstalacja” i nazwę systemu CMS, znaleźć instrukcje dotyczące ponownej instalacji. Jeśli masz jakieś wtyczki, moduły, rozszerzenia lub motywy, pamiętaj, aby je również zainstalować.

Krok 2

Hakerzy często modyfikują mapę witryny lub dodają nowe, aby polepszać adresy URL są indeksowane szybciej. Jeśli był wcześniej plik mapy witryny, sprawdź go w poszukiwaniu podejrzanych linków i usuń je z mapy witryny. Jeśli są których plików do witryny nie pamiętasz, sprawdź je dokładnie usunąć je, jeśli zawierają tylko spamerskie adresy URL.

Krok 3

Poszukaj innych złośliwych lub przejętych plików. Prawdopodobnie masz już w poprzednich 2 krokach nie udało Ci się usunąć wszystkich złośliwych plików, ale lepiej wykonaj te czynności, jeśli na Twojej stronie jest więcej plików, które zawierają zostały przejęte.

Nie daj się przytłoczyć faktem, że trzeba otworzyć i przejrzeć wszystkie pliku PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz zgłosić i zbadania sprawy. Oto kilka sposobów sprawdzenia, które pliki PHP mogą być podejrzane:

  • Jeśli pliki systemu CMS zostały załadowane ponownie, sprawdź tylko te pliki, które nie są częścią domyślnych plików i folderów systemu CMS. To powinno wykluczyć wiele plików PHP i zostawię jeszcze kilka plików do przejrzenia.
  • Posortuj pliki w witrynie według daty ostatniej modyfikacji. Szukaj Zmodyfikowane w ciągu kilku miesięcy od pierwszego że witryna została zaatakowana przez hakerów.
  • Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
.

Krok 4

Gdy masz listę podejrzanych plików PHP, sprawdź je pod kątem złośliwych treści. Jeśli nie znasz się za bardzo na PHP, może to zająć trochę czasu, warto więc odświeżyć dokumentację języka PHP. Użytkownikom, którzy nie mają nic wspólnego z kodowaniem, zalecamy skorzystanie z pomocy. Tymczasem możesz poznać kilka podstawowych wzorców, złośliwych plików.

Jeśli korzystasz z systemu CMS i nie masz zwyczaju bezpośredniego edytowania plików PHP, porównaj pliki na serwerze z listą domyślnych plików spakowanych z systemu CMS oraz z wtyczkami i motywami. Wyszukaj pliki, które do nich nie należą, które są większe niż ich wersja domyślna.

Przejrzyj podejrzane pliki pod kątem blokad zaciemniony kod. Może to wyglądać na połączenie pozornie pomieszanych liter i cyfr, zwykle poprzedzonych kombinacją funkcji PHP takich jak base64_decode, rot13, eval, strrev lub gzinflate. Oto przykład: jak może wyglądać blok kodu. Czasem taki kod może być napełniony w jeden długi wiersz tekstu, dzięki czemu wydaje się on mniejszy, niż jest w rzeczywistości.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Sprawdzanie, czy witryna jest czysta

Gdy zdołasz się pozbyć zhakowanych plików, sprawdź, czy Twoja ciężka praca opłacono. Pamiętasz znalezione wcześniej strony z bezużytecznym tekstem? Korzystanie z narzędzia do pobierania jako narzędzia Google, aby sprawdzić, czy nadal istnieją. Jeśli odpowiedź brzmi „Nie znaleziono” w narzędziu Pobierz jako Google możesz zająć się usuwaniem luk w zabezpieczeniach witryny.

Jak zapobiec ponownym atakom?

Usunięcie luk w zabezpieczeniach witryny to kluczowy krok końcowy witrynie. Niedawne badanie wykazało, że 20% witryn zostaje ponownie zaatakowanych jednego dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Przeczytaj najczęstsze sposoby atakowania witryn przez spamerów . Jeśli jednak nie wiesz, jak została zaatakowana przez hakerów, oto lista kontrolna rzeczy, które możesz zrobić, i zmniejszaj luki w zabezpieczeniach witryny.

  • Regularnie skanuj komputer: używaj dowolnego popularnego skanera antywirusowego, aby sprawdzać, pod kątem wirusów i luk w zabezpieczeniach.
  • Regularnie zmieniaj hasła: regularnie zmieniaj hasła na wszystkie konta powiązane z Twoją witryną, takie jak dostawca usług hostingowych, FTP czy CMS, zapobiegać nieautoryzowanemu dostępowi do witryny. Ważne, aby tworzyć solidne, unikalne hasło do każdego konta.
  • Użycie Uwierzytelnianie dwuskładnikowe: Rozważ włączenie 2FA we wszystkich usługach, które wymagają logowania. Uwierzytelnianie dwuskładnikowe utrudnia hakerom zalogowanie się, nawet jeśli uda im się ukraść. hasła.
  • Regularnie aktualizuj system CMS, wtyczki, rozszerzenia i moduły: Mam nadzieję, że ten krok masz już za sobą. Wiele witryn ulega atakom hakerów, ponieważ mają nieaktualne oprogramowanie. Niektóre systemy CMS obsługują automatyczne aktualizacje.
  • Zastanów się nad subskrypcją usługi zabezpieczeń, która będzie monitorować Twoją witrynę: Istnieje wiele przydatnych usług, które pomogą Ci za niewielką opłatą. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.

Dodatkowe materiały

Jeśli nadal masz problem z naprawieniem szkód w witrynie, skorzystaj z innych metod: materiałów, które mogą być pomocne.

Te narzędzia przeskanują witrynę i być może znajdą problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.

To tylko kilka narzędzi, które mogą spróbować przeskanować Twoją witrynę pod kątem problemów treści. Pamiętaj, że te skanery nie gwarantują, identyfikować wszystkie rodzaje problematycznych treści.

Dodatkowe zasoby Google, które mogą się przydać:

.