Это руководство создано специально для хака, который добавляет на ваш сайт страницы с большим количеством ключевых слов, которые мы будем называть хаком со скрытыми ключевыми словами и ссылками. Оно предназначено для пользователей популярных систем управления контентом (CMS) , но вы найдете это руководство полезным, даже если вы не используете CMS.
Мы хотим убедиться, что это руководство действительно вам поможет. Оставляйте отзывы , чтобы помочь нам стать лучше!
Определите этот тип взлома
Скрытые ключевые слова и взлом ссылок автоматически создают множество страниц с бессмысленным текстом, ссылками и изображениями. Эти страницы иногда содержат базовые элементы шаблона исходного сайта, поэтому на первый взгляд страницы могут выглядеть как обычные части вашего сайта, пока вы не прочтете их содержимое.
Взломанные страницы созданы для манипулирования факторами ранжирования Google. Хакеры часто пытаются монетизировать это, продавая ссылки на взломанные страницы различным третьим лицам. Часто взломанные страницы также перенаправляют посетителей на несвязанную страницу, где хакеры могут заработать деньги.
Начните с проверки инструмента «Проблемы безопасности» в консоли поиска, чтобы узнать, не обнаружил ли Google какую-либо из этих взломанных страниц на вашем сайте. Иногда вы также можете найти подобные страницы, открыв окно поиска Google и набрав site:_your site url_ с URL-адресом корневого уровня вашего сайта. Это покажет вам страницы, которые Google проиндексировал для вашего сайта, включая взломанные. Пролистните пару страниц результатов поиска, чтобы увидеть, не заметили ли вы какие-нибудь необычные URL-адреса. Если вы не видите взломанного контента в Google Поиске, используйте те же поисковые запросы в другой поисковой системе. Вот пример того, как это будет выглядеть:
Обычно, когда вы нажимаете ссылку на взломанную страницу, вы либо будете перенаправлены на другой сайт, либо увидите страницу, полную тарабарщины. Однако вы также можете увидеть сообщение о том, что страница не существует (например, ошибка 404). Не дайте себя обмануть! Хакеры попытаются обманом заставить вас думать, что страница исчезла или исправлена, хотя она все еще взломана. Они делают это путем маскировки контента. Проверьте наличие клоакинга, введя URL-адреса вашего сайта в инструменте проверки URL-адресов . Инструмент «Просмотреть как Google» позволяет увидеть скрытый контент.
Если вы видите эти проблемы, скорее всего, ваш сайт пострадал от взлома такого типа.
Исправьте взлом
Прежде чем начать, создайте автономную копию любых файлов, прежде чем удалять их, на случай, если вам понадобится восстановить их позже. А еще лучше сделайте резервную копию всего сайта, прежде чем начинать процесс очистки. Вы можете сделать это, сохранив все файлы, находящиеся на вашем сервере, в другом месте или выполнив поиск лучших вариантов резервного копирования для вашей конкретной системы управления контентом (CMS). Если вы используете CMS, также сделайте резервную копию базы данных.
Проверьте свой файл .htaccess (3 шага)
Взлом скрытых ключевых слов и ссылок использует ваш файл .htaccess для автоматического создания скрытых страниц на вашем сайте. Знакомство с основами .htaccess на официальном сайте Apache может помочь вам лучше понять, как взлом влияет на ваш сайт, но это не обязательно.
Шаг 1
Найдите файл .htaccess на своем сайте. Если вы не уверены, где его найти, и используете такую CMS, как WordPress, Joomla или Drupal, найдите в поисковой системе «расположение файла .htaccess» вместе с названием вашей CMS. В зависимости от вашего сайта вы можете увидеть несколько файлов .htaccess . Составьте список всех местоположений файлов .htaccess .
Шаг 2
Откройте файл .htaccess , чтобы просмотреть его содержимое. Найдите строку кода, которая выглядит примерно так:
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
Переменные в этой строке могут меняться. И cj2fa , и tobeornottobe могут представлять собой любую комбинацию букв или слов. Важно идентифицировать .php , на который ссылается эта строка.
Запишите файл .php , упомянутый в файле .htaccess . В этом примере файл .php называется injected_file.php , но на самом деле имя файла не будет таким очевидным. Обычно это случайный набор безобидных слов, таких horsekeys.php potatolake.php . Скорее всего, это вредоносный файл .php , который нам придется отследить и удалить позже.
Шаг 3
Замените все файлы .htaccess чистой версией файла .htaccess или версией по умолчанию. Обычно вы можете найти версию файла .htaccess по умолчанию, выполнив поиск по «файлу .htaccess по умолчанию» и имени вашей CMS. Для сайтов с несколькими файлами .htaccess найдите чистую версию каждого из них и выполните замену.
Если .htaccess по умолчанию не существует и вы никогда не настраивали файл .htaccess на своем сайте, файл .htaccess , который вы найдете на своем сайте, вероятно, является вредоносным. На всякий случай сохраните копию файлов .htaccess в автономном режиме и со своего сайта.
Найдите и удалите другие вредоносные файлы (5 шагов)
Выявление вредоносных файлов может оказаться сложной задачей и отнять много времени. Не торопитесь при проверке файлов. Если вы еще этого не сделали, сейчас самое время сделать резервную копию файлов на вашем сайте. Выполните поиск в Google по запросу «резервное копирование сайта» и названию вашей CMS, чтобы найти инструкции по резервному копированию вашего сайта.
Шаг 1
Если вы используете CMS, переустановите все основные файлы (по умолчанию), которые входят в дистрибутив вашей CMS по умолчанию, а также все, что вы добавили (например, темы, модули, плагины). Это помогает гарантировать, что эти файлы не содержат взломанного контента. Вы можете выполнить поиск в Google по запросу «переустановить» и имени вашей CMS, чтобы найти инструкции по переустановке. Если у вас есть какие-либо плагины, модули, расширения или темы, обязательно переустановите их.
Шаг 2
Начните с поиска файла .php , который вы ранее определили в файле .htaccess . В зависимости от того, как вы получаете доступ к файлам на вашем сервере, у вас должна быть какая-то функция поиска. Найдите вредоносное имя файла. Если вы его нашли, сначала сделайте резервную копию и сохраните ее в другом месте на случай, если вам понадобится ее восстановить, а затем удалите ее со своего сайта.
Шаг 3
Найдите оставшиеся вредоносные или скомпрометированные файлы. Возможно, вы уже удалили все вредоносные файлы на предыдущих двух шагах, но лучше всего выполнить следующие несколько шагов на случай, если на вашем сайте окажется больше скомпрометированных файлов.
Не расстраивайтесь, думая, что вам нужно открыть и просмотреть каждый файл PHP. Начните с создания списка подозрительных файлов PHP, которые вы хотите изучить. Вот несколько способов определить, какие файлы PHP являются подозрительными:
- Если вы уже перезагрузили файлы CMS, просматривайте только те файлы, которые не являются частью файлов или папок CMS по умолчанию. Это должно исключить множество файлов PHP и оставить вам несколько файлов для просмотра.
- Отсортируйте файлы на вашем сайте по дате последнего изменения. Ищите файлы, которые были изменены в течение нескольких месяцев с момента, когда вы впервые обнаружили, что ваш сайт был взломан.
- Сортируйте файлы на вашем сайте по размеру. Ищите любые необычно большие файлы.
Шаг 4
Получив список подозрительных файлов PHP, проверьте, не являются ли они вредоносными. Если вы не знакомы с PHP, этот процесс может занять больше времени, поэтому подумайте о том, чтобы освежить некоторую документацию по PHP . Если вы новичок в программировании, мы рекомендуем получить помощь . Между тем, есть несколько основных закономерностей, которые можно использовать для выявления вредоносных файлов.
Если вы используете CMS и не имеете привычки редактировать эти файлы напрямую, сравните файлы на своем сервере со списком файлов по умолчанию, упакованных с CMS, а также любыми плагинами и темами. Ищите чужие файлы, а также файлы, размер которых превышает их версию по умолчанию.
Сначала просмотрите подозрительные файлы, которые вы уже идентифицировали, на предмет больших блоков текста, содержащих, казалось бы, беспорядочные буквы и цифры. Большому блоку текста обычно предшествует комбинация функций PHP, таких как base64_decode , rot13 , eval , strrev или gzinflate . Вот пример того, как может выглядеть этот блок кода. Иногда весь этот код помещается в одну длинную строку текста, из-за чего он выглядит меньше, чем есть на самом деле.
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Иногда код не беспорядочен и выглядит как обычный скрипт. Если вы не уверены в том, что код плохой, посетите наши справочные форумы для веб-мастеров , где группа опытных веб-мастеров поможет вам просмотреть файлы.
Шаг 5
Теперь, когда вы знаете, какие файлы являются подозрительными, создайте резервную копию или локальную копию, сохранив их на своем компьютере, на случай, если какие-либо файлы не являются вредоносными, и удалите подозрительные файлы со своего сайта.
Проверьте, чистый ли ваш сайт
Завершив избавление от взломанных файлов, проверьте, окупилась ли ваша тяжелая работа. Помните те бессмысленные страницы, которые вы обнаружили ранее? Снова используйте для них инструмент «Просмотреть как Google», чтобы проверить, существуют ли они еще. Если они ответят «Не найдено» в Fetch as Google, скорее всего, вы в хорошей форме и можете перейти к исправлению уязвимостей на своем сайте.
Как предотвратить повторный взлом?
Исправление уязвимостей на вашем сайте — это важный заключительный шаг для исправления вашего сайта. Недавнее исследование показало, что 20% взломанных сайтов подвергаются повторному взлому в течение одного дня. Полезно знать, как именно был взломан ваш сайт. Прочтите наше руководство по основным способам взлома веб-сайтов спамерами, чтобы начать расследование. Однако, если вы не можете выяснить, как ваш сайт был взломан, ниже приведен контрольный список того, что вы можете сделать, чтобы уменьшить количество уязвимостей на вашем сайте:
- Регулярно сканируйте свой компьютер. Используйте любой популярный антивирусный сканер для проверки на наличие вирусов и уязвимостей.
- Регулярно меняйте пароли. Регулярная смена паролей для всех учетных записей вашего веб-сайта, таких как хостинг-провайдер, FTP и CMS, может предотвратить несанкционированный доступ к вашему сайту. Важно создать надежный и уникальный пароль для каждой учетной записи.
- Используйте двухфакторную аутентификацию (2FA) . Рассмотрите возможность включения 2FA для любой службы, требующей входа в систему. 2FA усложняет вход хакерам, даже если они успешно украдут ваш пароль.
- Регулярно обновляйте свою CMS, плагины, расширения и модули. Надеюсь, вы уже сделали этот шаг. Многие сайты подвергаются взлому, потому что на них установлено устаревшее программное обеспечение. Некоторые CMS поддерживают автоматическое обновление.
- Рассмотрите возможность подписки на службу безопасности для мониторинга вашего сайта: существует множество отличных сервисов, которые могут помочь вам контролировать ваш сайт за небольшую плату. Рассмотрите возможность регистрации у них, чтобы обеспечить безопасность вашего сайта.
Дополнительные ресурсы
Если у вас по-прежнему возникают проблемы с исправлением вашего сайта, есть еще несколько ресурсов, которые могут вам помочь.
Эти инструменты сканируют ваш сайт и могут найти проблемный контент. За исключением VirusTotal, Google их не запускает и не поддерживает.
Это лишь некоторые инструменты, которые могут сканировать ваш сайт на наличие проблемного контента. Имейте в виду, что эти сканеры не могут гарантировать, что они определят все типы проблемного контента.
Вот дополнительные ресурсы от Google, которые могут вам помочь: