คู่มือนี้จัดทำขึ้นสำหรับการแฮ็กประเภทที่เพิ่มคีย์เวิร์ดจำนวนมาก ที่ไม่มีความหมายไปยังเว็บไซต์ของคุณ ซึ่งเราจะเรียกว่าคีย์เวิร์ดที่ปิดบังหน้าเว็บจริง ลิงก์ไม่ได้ โดยออกแบบมาสำหรับผู้ใช้ ระบบจัดการเนื้อหา (CMS) ยอดนิยม คำแนะนำนี้มีประโยชน์แม้ว่าคุณจะไม่ได้ใช้ CMS ก็ตาม
เราอยากมั่นใจว่าคู่มือนี้จะมีประโยชน์ต่อคุณจริงๆ แสดงความคิดเห็น เพื่อช่วยเราปรับปรุง!
ระบุการแฮ็กประเภทนี้
การแฮ็กแบบปิดบังคีย์เวิร์ดและลิงก์จะสร้างหน้าจำนวนมากโดยอัตโนมัติด้วย ข้อความ ลิงก์ และรูปภาพที่ไม่สื่อความหมาย บางครั้งหน้าเว็บเหล่านี้จะมีพื้นฐาน องค์ประกอบเทมเพลตจากเว็บไซต์ต้นฉบับ ดังนั้นเมื่อมองเผินๆ หน้าเหล่านี้ก็อาจ มีลักษณะเหมือนส่วนปกติของเว็บไซต์จนกว่าคุณจะอ่านเนื้อหา
หน้าเว็บที่ถูกแฮ็กนี้สร้างขึ้นเพื่อควบคุมจัดการปัจจัยการจัดอันดับของ Google แฮ็กเกอร์ พยายามสร้างรายได้จากสิ่งนี้โดยการขายลิงก์ในหน้าที่ถูกแฮกให้กับ บุคคลที่สามต่างๆ บ่อยครั้งที่หน้าที่ถูกแฮกจะเปลี่ยนเส้นทางผู้เข้าชมไปยัง หน้าเว็บที่ไม่เกี่ยวข้องซึ่งแฮ็กเกอร์สามารถสร้างรายได้
เริ่มต้นด้วยการดูที่
ปัญหาด้านความปลอดภัย
ใน Search Console เพื่อดูว่า Google ค้นพบหน้าเว็บที่ถูกแฮ็กเหล่านี้หรือไม่
ในเว็บไซต์ของคุณ บางครั้งคุณอาจพบหน้าเว็บลักษณะนี้ โดยการเปิด
หน้าต่างค้นหาและพิมพ์ site:_your site url_ โดยมี URL ระดับรากเป็น
เว็บไซต์ของคุณ ซึ่งจะแสดงหน้าที่ Google จัดทำดัชนีให้กับเว็บไซต์
รวมถึงหน้าที่ถูกแฮ็กด้วย พลิกดูผลการค้นหา 2-3 หน้าเพื่อ
ดูว่าคุณพบ URL ที่ผิดปกติบ้างไหม หากคุณไม่เห็นเนื้อหาที่ถูกแฮ็กใน Google
ค้นหา ใช้ข้อความค้นหาเดียวกันกับเครื่องมือค้นหาอื่น นี่คือ
ตัวอย่างของการเปลี่ยนแปลงดังกล่าว
โดยปกติ เมื่อคุณคลิกลิงก์ที่ไปยังหน้าที่ถูกแฮ็ก คุณจะ เปลี่ยนเส้นทางไปยังเว็บไซต์อื่น หรือดูหน้าที่เต็มไปด้วยเนื้อหาที่ไม่มีความหมาย อย่างไรก็ตาม คุณยังอาจเห็นข้อความที่บ่งบอกว่าหน้านี้ไม่มีอยู่ (สำหรับ เช่น ข้อผิดพลาด 404) อย่าหลงเชื่อ แฮ็กเกอร์จะพยายามหลอกคุณ คิดว่าหน้าหายไปหรือได้รับการแก้ไขแล้ว ทั้งๆ ที่ยังคงถูกแฮ็กอยู่ โดยสามารถทำได้ด้วย การปิดบังหน้าเว็บจริง เนื้อหา ให้ตรวจสอบว่ามีการปิดบังเนื้อหาหรือไม่โดยการป้อน URL ของเว็บไซต์ของคุณใน เครื่องมือตรวจสอบ URL เครื่องมือดึงข้อมูลเหมือนเป็น Google ช่วยให้คุณเห็นเนื้อหาที่ซ่อนอยู่
หากคุณพบว่าปัญหาเหล่านี้ แสดงว่าเว็บไซต์ของคุณมีแนวโน้มที่จะได้รับผลกระทบจากประเภทนี้ แฮ็ก
แก้ไขการแฮ็ก
ก่อนที่จะเริ่ม ให้ทำสำเนาไฟล์แบบออฟไลน์ก่อนนำไฟล์ออกใน เพื่อกู้คืนในภายหลัง แต่ทางที่ดี คุณควรสำรองไซต์ไว้ทั้งไซต์ก่อน เมื่อคุณเริ่มขั้นตอนการทำความสะอาด ซึ่งทำได้โดยบันทึกไฟล์ทั้งหมด บนเซิร์ฟเวอร์ของคุณไปยังที่อื่นนอกเซิร์ฟเวอร์ หรือค้นหาข้อมูลสำรองที่ดีที่สุด สำหรับระบบจัดการเนื้อหา (CMS) ของคุณ หากคุณใช้ CMS ก็สำรองฐานข้อมูลไว้ด้วย
ตรวจสอบไฟล์ .htaccess (3 ขั้นตอน)
การแฮ็กด้วยคีย์เวิร์ดและลิงก์ที่มีการปิดบังหน้าเว็บจริงจะใช้ไฟล์ .htaccess เพื่อ
สร้างหน้าที่ปิดบังหน้าเว็บจริงในเว็บไซต์ของคุณ การทำความคุ้นเคยกับ
ข้อมูลเบื้องต้นเกี่ยวกับ .htaccess
ในเว็บไซต์ Apache อย่างเป็นทางการจะช่วยให้คุณเข้าใจมากขึ้นว่าการแฮ็กนี้เกิดขึ้นได้อย่างไร
เว็บไซต์ของคุณ แต่ก็ไม่จำเป็น
ขั้นตอนที่ 1
ค้นหาไฟล์ .htaccess ในเว็บไซต์ของคุณ หากไม่แน่ใจว่าต้องค้นหาที่ไหน
และคุณใช้ CMS เช่น WordPress, Joomla หรือ Drupal ให้ค้นหา
"ตำแหน่งไฟล์ .htaccess" ในเครื่องมือค้นหาและชื่อ CMS ของคุณ
คุณอาจเห็นไฟล์ .htaccess หลายไฟล์ ซึ่งขึ้นอยู่กับเว็บไซต์ของคุณ
สร้างรายการตำแหน่งของไฟล์ .htaccess ทั้งหมด
ขั้นตอนที่ 2
เปิดไฟล์ .htaccess เพื่อดูเนื้อหาในไฟล์ มองหาเส้นของ
ซึ่งมีลักษณะคล้ายกับโค้ดต่อไปนี้
RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]
ตัวแปรในบรรทัดนี้ไม่จำเป็นต้องเป็นแบบนี้ ทั้ง cj2fa และ tobeornottobe สามารถ
ประกอบด้วยตัวอักษรหรือคำผสมกัน สิ่งสำคัญคือการระบุ .php
ที่อ้างอิงในบรรทัดนี้
จดไฟล์ .php ที่ระบุอยู่ในไฟล์ .htaccess ในตัวอย่างนี้
ไฟล์ .php ชื่อ injected_file.php แต่ในความเป็นจริงแล้วชื่อไฟล์จะไม่
ชัดเจนที่สุด มันมักจะเป็นพวกชุดคำที่ไม่เป็นพิษเป็นภัยอะไร อย่างเช่น
horsekeys.php หรือ potatolake.php วิดีโอนี้มีแนวโน้มจะเป็น.phpที่เป็นอันตราย
ที่เราจะต้องติดตามและลบในภายหลัง
ขั้นตอนที่ 3
แทนที่ไฟล์ .htaccess ทั้งหมดด้วย .htaccess เวอร์ชันปกติหรือเวอร์ชันเริ่มต้น
โดยปกติแล้วคุณสามารถค้นหาไฟล์ .htaccess เวอร์ชันเริ่มต้นได้ด้วยการค้นหา
สำหรับ "ไฟล์ .htaccess เริ่มต้น" และชื่อของ CMS สำหรับเว็บไซต์ที่มีหลายรายการ
.htaccess หาแต่ละไฟล์ในเวอร์ชันปกติและดำเนินการแทนที่
หากไม่มี .htaccess ที่เป็นค่าเริ่มต้นและไม่เคยกำหนดค่าไฟล์ .htaccess
ในเว็บไซต์ของคุณ ไฟล์ .htaccess ที่คุณพบในเว็บไซต์อาจเป็นอันตราย
บันทึกสำเนาของไฟล์ .htaccess ไฟล์แบบออฟไลน์เผื่อไว้ใช้ในกรณีที่ไฟล์
จากเว็บไซต์ของคุณ
ค้นหาและนำไฟล์ที่เป็นอันตรายอื่นๆ ออก (5 ขั้นตอน)
การระบุไฟล์ที่เป็นอันตรายอาจเป็นเรื่องยุ่งยากและใช้เวลานาน ไม่ต้องรีบ เมื่อตรวจสอบไฟล์ของคุณ ถ้ายังไม่ได้ดำเนินการ ก็ถือเป็นโอกาสที่ดีในการสำรองข้อมูล ไฟล์บนไซต์ของคุณ ค้นหา "สำรองข้อมูลเว็บไซต์" ใน Google และชื่อของ CMS เพื่อดูวิธีการสำรองข้อมูลเว็บไซต์
ขั้นตอนที่ 1
หากคุณใช้ CMS ให้ติดตั้งไฟล์หลักทั้งหมด (ค่าเริ่มต้น) ที่อยู่ใน การเผยแพร่ CMS ที่เป็นค่าเริ่มต้น รวมถึงทุกสิ่งที่คุณอาจเพิ่มไว้ (เช่น เป็นธีม โมดูล ปลั๊กอิน) ซึ่งจะช่วยให้มั่นใจว่าไฟล์เหล่านี้ไม่มี เนื้อหาที่ถูกแฮ็ก คุณสามารถค้นหา "ติดตั้งอีกครั้ง" บน Google ได้ และชื่อ CMS ของคุณ ดูคำแนะนำการติดตั้งใหม่ ถ้าคุณมีปลั๊กอิน โมดูล ส่วนขยาย และธีม อย่าลืมติดตั้งอีกครั้งด้วย
ขั้นตอนที่ 2
เริ่มด้วยการค้นหาไฟล์ .php ที่คุณระบุใน .htaccess
ก่อนหน้านี้ คุณสามารถดำเนินการต่อไปนี้ โดยขึ้นอยู่กับวิธีที่คุณเข้าถึงไฟล์ในเซิร์ฟเวอร์
ควรมีฟังก์ชันการค้นหาบางประเภท ค้นหาสิ่งที่เป็นอันตราย
ชื่อไฟล์ หากเห็น ให้ทำสำเนาข้อมูลสำรองและจัดเก็บไว้ในอีกสำเนาหนึ่ง
ตำแหน่งเผื่อไว้ในกรณีที่คุณจำเป็นต้องกู้คืน แล้วลบจากเว็บไซต์ของคุณ
ขั้นตอนที่ 3
มองหาไฟล์ที่เป็นอันตรายหรือถูกบุกรุกที่เหลืออยู่ คุณอาจเคยดำเนินการแล้ว ได้ลบไฟล์ที่เป็นอันตรายทั้งหมดใน 2 ขั้นตอนก่อนหน้านี้ แต่ทางที่ดีควรดำเนินการ เพื่อทำตามขั้นตอนอีก 2-3 ข้อต่อไปนี้ เผื่อว่ามีไฟล์ที่ถูกบุกรุก ของคุณ
อย่าเพิ่งกังวลไปเพราะคิดว่าจะต้องเปิดและดู PHP ให้เริ่มด้วยการสร้างรายชื่อไฟล์ PHP ที่น่าสงสัยที่คุณต้องการ ตรวจสอบ ต่อไปนี้เป็นตัวอย่างวิธีพิจารณาว่าไฟล์ PHP ใดบ้างน่าสงสัย
- หากโหลดไฟล์ CMS ซ้ำแล้ว ให้ดูเฉพาะไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของไฟล์ ของไฟล์หรือโฟลเดอร์ CMS เริ่มต้น ซึ่งควรจะตัดไฟล์ PHP ออกได้จำนวนมาก และเหลือไฟล์จำนวนหนึ่งให้ดู
- จัดเรียงไฟล์ในไซต์ตามวันที่แก้ไขครั้งล่าสุด มองหา ไฟล์ที่มีการแก้ไขภายใน 2-3 เดือนนับจากที่คุณทำครั้งแรก พบว่าเว็บไซต์ของคุณถูกแฮ็ก
- จัดเรียงไฟล์ในไซต์ตามขนาด มองหาไฟล์ที่มีขนาดใหญ่ผิดปกติ
ขั้นตอนที่ 4
เมื่อคุณมีรายชื่อไฟล์ PHP ที่น่าสงสัยเรียบร้อยแล้ว ให้ตรวจดูว่าไฟล์เหล่านั้นเป็นอันตรายหรือไม่ หากคุณไม่คุ้นเคยกับ PHP ขั้นตอนนี้อาจใช้เวลามากขึ้น ลองทบทวนเอกสารประกอบเกี่ยวกับ PHP นี้ ถ้า คุณยังไม่ค่อยมีความรู้เกี่ยวกับการเขียนโค้ดเลย การขอความช่วยเหลือ ในระหว่างนี้ มี รูปแบบพื้นฐานที่คุณสามารถมองหาเพื่อระบุไฟล์ที่เป็นอันตราย
หากคุณใช้ CMS และไม่ชอบแก้ไขไฟล์เหล่านั้นโดยตรง เปรียบเทียบไฟล์ในเซิร์ฟเวอร์ของคุณกับรายการไฟล์เริ่มต้นที่อยู่ใน CMS รวมถึงปลั๊กอินและธีมต่างๆ มองหาไฟล์ที่ไม่ถูกต้องและ ไฟล์ที่มีขนาดใหญ่กว่าเวอร์ชันเริ่มต้น
ขั้นแรก ให้ตรวจไฟล์ที่น่าสงสัยที่คุณได้ระบุไว้แล้วเพื่อหา
บล็อกข้อความขนาดใหญ่ที่ดูเหมือนรวมกันเป็นตัวอักษรที่ยุ่งเหยิงและ
ตัวเลข ข้อความบล็อกขนาดใหญ่มักจะนำหน้าด้วย PHP ที่ผสมผสานกัน
ฟังก์ชันอย่างเช่น base64_decode, rot13, eval, strrev หรือ gzinflate
นี่คือตัวอย่างหน้าตาของบล็อกโค้ดดังกล่าว บางครั้งทั้งหมดนี้
โค้ดจะถูกอัดอยู่ด้วยกันในข้อความยาวๆ บรรทัดเดียว ทำให้ดูเหมือนมีขนาดเล็กกว่า
จริงๆ แล้ว
// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
บางครั้งโค้ดก็ไม่ได้ผสมปนเปกันจนยุ่งเหยิงและดูเหมือนเป็นสคริปต์ที่ปกติดี หากคุณ ไม่แน่ใจว่าโค้ดไม่ถูกต้องหรือไม่ ลองหยุดใช้ ฟอรัมความช่วยเหลือสำหรับผู้ดูแลเว็บ ซึ่งเป็นที่ที่กลุ่มผู้ดูแลเว็บที่มีประสบการณ์สามารถช่วยคุณตรวจสอบไฟล์ได้
ขั้นตอนที่ 5
เมื่อคุณทราบแล้วว่ามีไฟล์ใดที่น่าสงสัย ก็ให้สำรองข้อมูลหรือทำสำเนาไว้ในเครื่องโดย บันทึกไว้ในคอมพิวเตอร์ เผื่อว่าไฟล์เหล่านั้นไม่ได้เป็นอันตราย แล้วลบไฟล์ที่น่าสงสัยออกจากเว็บไซต์
ตรวจสอบว่าเว็บไซต์ของคุณสะอาดหรือไม่
เมื่อกำจัดไฟล์ที่ถูกแฮ็กออกไปแล้ว ให้ตรวจสอบว่าความทุ่มเทของคุณ ชำระเงินแล้ว คุณจำหน้าที่เต็มไปด้วยคำที่ไม่มีความหมายที่พบก่อนหน้านี้ได้ไหม ใช้การดึงข้อมูล เป็นเครื่องมือของ Google อีกครั้งเพื่อดูว่ายังมีอยู่หรือไม่ หากพวกเขาตอบว่า "ไม่" พบ" ในการดึงข้อมูลเหมือนเป็น Google อาจเป็นไปได้ว่าคุณอยู่ในสถานะที่ดีแล้ว แก้ไขปัญหาช่องโหว่ในไซต์
ฉันจะป้องกันการถูกแฮ็กอีกได้อย่างไร
การแก้ไขช่องโหว่ในเว็บไซต์เป็นขั้นตอนสุดท้ายที่จำเป็นสำหรับการแก้ปัญหา ของคุณ ผลการวิจัยเมื่อเร็วๆ นี้พบว่า 20% ของไซต์ที่ถูกแฮ็กได้ถูกแฮ็กซ้ำภายใน ใน 1 วัน การรู้อย่างแน่ชัดว่าไซต์ถูกแฮ็กได้อย่างไรจึงมีประโยชน์อย่างยิ่ง โปรดอ่านคู่มือ วิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุด ในการเริ่มตรวจสอบ แต่หากคุณไม่ทราบวิธี เว็บไซต์ของคุณถูกแฮ็ก โปรดดูรายการตรวจสอบต่อไปนี้ ลดช่องโหว่ในเว็บไซต์ของคุณ:
- สแกนคอมพิวเตอร์เป็นประจำ: ใช้เครื่องมือสแกนไวรัสยอดนิยมเพื่อตรวจสอบ เพื่อหาไวรัสหรือช่องโหว่
- เปลี่ยนรหัสผ่านเป็นประจำ: เปลี่ยนรหัสผ่านเป็นประจำเป็น บัญชีเว็บไซต์ทั้งหมด เช่น ผู้ให้บริการโฮสติ้ง, FTP และ CMS ป้องกันการเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาต การสร้างครีเอทีฟโฆษณาที่ รหัสผ่านที่ไม่ซ้ำกันสำหรับแต่ละบัญชี
- ใช้ การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA): พิจารณาเปิดใช้ 2FA ในบริการใดก็ตามที่กำหนดให้คุณต้องลงชื่อเข้าใช้ 2FA ทำให้แฮ็กเกอร์ลงชื่อเข้าใช้ได้ยากขึ้น แม้ว่าจะขโมยสำเร็จก็ตาม รหัสผ่านของคุณ
- อัปเดต CMS, ปลั๊กอิน, ส่วนขยาย และโมดูลเป็นประจำ ดังนี้ หวังว่าคุณจะได้ทำตามขั้นตอนนี้แล้ว ไซต์จำนวนมากถูกแฮ็กเนื่องจาก ใช้ซอฟต์แวร์ที่ล้าสมัย ทั้งนี้ CMS บางระบบรองรับการอัปเดตอัตโนมัติด้วย
- พิจารณาสมัครใช้บริการรักษาความปลอดภัยเพื่อตรวจสอบเว็บไซต์ ดังนี้ มีบริการดีๆ มากมายที่ช่วยคุณตรวจสอบ โดยมีค่าบริการเพียงเล็กน้อย ลองลงทะเบียนกับผู้ให้บริการดังกล่าวเพื่อให้ไซต์ปลอดภัย
แหล่งข้อมูลเพิ่มเติม
หากยังพบปัญหาในการแก้ไขไซต์ แหล่งข้อมูลที่อาจช่วยคุณได้
เครื่องมือเหล่านี้จะสแกนไซต์และอาจพบเนื้อหาที่มีปัญหา แต่นอกเหนือจาก VirusTotal แล้ว Google ไม่ใช้หรือรองรับเครื่องมืออื่นใดอีก
สิ่งเหล่านี้เป็นเพียงเครื่องมือบางส่วนที่อาจสแกนหาปัญหาในเว็บไซต์ได้ เนื้อหา โปรดทราบว่าโปรแกรมสแกนเหล่านี้ไม่สามารถรับประกันได้ว่า ระบุเนื้อหาที่เป็นปัญหาทุกประเภท
ทรัพยากรเพิ่มเติมจาก Google ที่ช่วยคุณได้มีดังนี้