本指南專為各種攻擊類型 自動產生的日文文字。在這種網站上,我們指的是 日文關鍵字攻擊。適用對象為 內容管理系統 (CMS) 但即使沒有 CMS,本指南仍能派上用場
我們想確定這份指南確實對您有幫助。 意見回饋 協助我們改善服務品質!
辨識這類駭客攻擊
日文關鍵字攻擊通常會利用自動產生的新網頁
網站上顯示的日文文字,以隨機產生的目錄名稱
(例如 http://example.com/ltjmnjp/341.html)。這些網頁
透過聯盟連結前往銷售假品牌商品的商店營利
然後顯示在 Google 搜尋中這類頁面的範例如下:
透過這類駭客攻擊,駭客通常會將自己新增為資源 Search Console 擁有者,藉由操縱網站的 例如指定地理區域或 Sitemap 當你收到陌生人的通知時 在 Search Console 中驗證網站, 你的網站很可能已遭到入侵。
請先查看
安全性問題
工具,查看 Google 是否發現任何這類遭到入侵的網頁
有時候,開啟 Google
搜尋視窗並輸入 site:_your site url_,根層級網址如下:
你的網站這會顯示你網站上已由 Google 建立索引的網頁
包括遭入侵的網頁瀏覽幾頁搜尋結果,
檢查是否有任何不尋常的網址如果您沒有看到任何遭入侵的內容
搜尋,並搭配不同的搜尋引擎使用相同的搜尋字詞。以下是
看起來會像這樣:
一般來說,當您點選遭入侵網頁的連結時,系統會返回 重新導向至其他網站,或是看到包含胡言亂語內容的網頁。不過 您可能會看到指出該網頁不存在 ( 顯示「404」錯誤)。請別上當!駭客會誘騙你 以免因遭到入侵時網頁消失或修正。做法如下: 偽裝 內容。請在 網址檢查工具: Google 模擬器工具可讓您查看基本的隱藏內容。
如果發現這類問題,表示您的網站很可能受到這類因素影響 駭客入侵。
修正入侵問題
移除檔案前,請先為所有的檔案建立離線副本,再移除。 以便日後還原資料您更進一步,先備份整個網站 即可開始清理程序方法就是先儲存 送至伺服器以外的位置,或是搜尋最佳備份 某些內容管理系統 (CMS) 的選項。如果使用 CMS 也可以備份資料庫
將新建立的帳戶從 Search Console 中移除
Search Console 新增不明擁有者時 帳戶,請盡快撤銷其存取權。您可以查看 網站的驗證狀態 (適用於 Search Console 驗證頁面: 按一下「驗證詳細資料」即可查看所有已驗證使用者。
如要從 Search Console 移除擁有者,請參閱「移除擁有者」一文
的
管理使用者、擁有者和權限說明中心。
您必須移除相關聯的驗證權杖,通常為
可以是網站根目錄的 HTML 檔案,或動態產生的
.htaccess 檔案模擬 HTML 檔案。
如果您在網站上找不到 HTML 驗證權杖,請檢查重寫內容
必須在 .htaccess 檔案中指定規則。重新寫入規則看起來會像這樣:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
如何移除 .htaccess 中的動態產生的驗證權杖
檔案後,請按照下列步驟操作:
檢查 .htaccess 檔案 (2 個步驟)
除了使用 .htaccess 檔案建立動態產生的驗證以外
也經常使用 .htaccess 規則將使用者重新導向
胡言亂語的網頁。如未自訂 .htaccess 規則,請考慮
會以全新的副本取代 .htaccess。
步驟 1
在網站上找出 .htaccess 檔案。如果不確定要找的地點在哪裡
且使用 WordPress、Joomla 或 Drupal 等 CMS 搜尋
「.htaccess 檔案位置」加上您的 CMS 名稱
視網站而定,您可能會看見多個 .htaccess 檔案。
列出 .htaccess 全部的檔案位置。
步驟 2
使用乾淨或預設版本的 .htaccess 取代所有 .htaccess 檔案
檔案。通常可以透過搜尋找到 .htaccess 檔案的預設版本
適用於「預設 .htaccess 檔案」還有 CMS 的名稱適用於擁有多個
.htaccess 個檔案,找出每個檔案的無版版本,並替換版本。
如果沒有預設的 .htaccess,而且從未設定過 .htaccess
可能是網站上找到的 .htaccess 檔案
惡意內容以離線方式儲存 .htaccess 檔案副本,以防萬一並
從你的網站刪除 .htaccess 檔案。
移除所有惡意檔案和指令碼 (4 個步驟)
找出惡意檔案可能並不容易,也相當耗時。不用擔心 使用者檢查檔案的時間如果你尚未接觸這方面的資料,現在可以 網站上的檔案透過 Google 搜尋「備份網站」以及 請參閱 CMS 中的說明,瞭解如何備份網站。
步驟 1
如果您使用 CMS,請重新安裝 新的 CMS 發布情形,以及你新增的內容 (例如 主題、模組或外掛程式)。以確保這些檔案不會 也就是遭入侵的內容您可以透過 Google 搜尋「重新安裝」你的 CMS 名稱 操作說明。如果有外掛程式、模組、擴充功能 或是主題,請務必重新安裝
步驟 2
駭客通常會修改您的 Sitemap 或新增 Sitemap,以確保 網址的索引速度較快。如果您先前有 Sitemap 檔案,請檢查檔案 並從 Sitemap 中移除任何可疑的連結。如果有任何 您不記得的 Sitemap 檔案,仔細檢查並檢查 如果其中只含有垃圾網址,便將這些網址移除。
步驟 3
找出任何其他惡意或遭入侵的檔案。您可能已經 移除了前兩個步驟中的所有惡意檔案,但最好 按照幾個簡單步驟進行,以免網站上出現其他檔案 遭到入侵的漏洞
別誤以為您必須打開 PHP 檔案。首先,建立可疑的 PHP 檔案清單 調查。判別可疑的 PHP 檔案時,可以採用以下這些方法:
- 如果您已重新載入 CMS 檔案,請只查看不屬於所有檔案的檔案 預設 CMS 檔案或資料夾這應該會排除許多 PHP 檔案 並提供幾個檔案供您參考
- 依上次修改日期排序您網站上的檔案,請尋找 您在首次下載這些檔案後幾個月內修改過的檔案 發現你的網站遭到入侵
- 依大小排序您網站上的檔案,找出所有特別大的檔案。
步驟 4
取得可疑的 PHP 檔案清單後,請檢查是否有惡意內容。 如果您對 PHP 不熟悉,可能需要花費更多時間。 因此建議您溫習一些 PHP 說明文件。 如果您是程式設計新手,建議您取得協助。 在此期間,你可以參考一些基本模式來找出 惡意檔案
如果您使用 CMS,且沒有直接編輯 PHP 檔案的習慣, 比對伺服器上的檔案與封裝的預設檔案清單 CMS 和任何外掛程式和主題尋找他人無法找到的檔案, 大於預設版本的檔案大小
掃描您已找出的可疑檔案,找出封鎖方式
混淆矩陣是許多關鍵值這可能看起來像是混亂的組合
開頭通常為 PHP 函式組合,例如
base64_decode、rot13、eval、strrev 或 gzinflate。這裡舉例說明
程式碼區塊的模樣有時這個程式碼會全部
形成一長串文字,看起來比實際更小
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
檢查網站是否乾淨
清理完遭入侵的檔案後,請檢查一下,確認是否耗費大量心力 結果便比較好還記得您稍早找到的胡言亂語網頁嗎?使用擷取 會以 Google 工具重新驗證它們,看看是否仍然存在。 如果回應為「找不到」Google 模擬器發生的機率, 這樣您就能繼續修正網站的安全漏洞。
如何避免再次遭到入侵?
修正網站的漏洞是修正網站問題的最後一步 網站。最近的研究發現,遭入侵的網站中有 20% 再次遭到入侵 一天。因此,確切瞭解網站遭到入侵的方式實在很有幫助。請參閱 垃圾內容發布者入侵網站的常見方式 協助您展開調查不過,如果無法找出 網站遭到入侵時,可參考以下檢查清單 減少網站的漏洞
- 定期掃描電腦:使用任何熱門的病毒掃描程式查看 檢查是否有病毒或漏洞
- 定期變更密碼:定期將密碼變更為 代管服務供應商、FTP 和 CMS 等所有網站帳戶 防止他人未經授權存取你的網站。建立強大的 每個帳戶專屬的密碼。
- 使用 雙重驗證 (2FA): 建議你為所有要求登入的服務啟用 2FA。雙重驗證 即使駭客成功竊取,也難以登入 您的密碼。
- 定期更新 CMS、外掛程式、擴充功能和模組: 希望您已完成這個步驟。許多網站遭到入侵的原因 它們執行的軟體過舊部分 CMS 支援自動更新功能。
- 考慮訂閱安全性服務,以便監控網站: 市面上有許多很棒的服務 小額收費網站建議你註冊這類服務,確保網站安全無虞。
其他資源
如果還是無法解決網站問題,還有其他問題 可能有所幫助
這些工具會掃描您的網站,有助於找出有問題的內容。 不過,除了 VirusTotal Google 提供的工具,Google 並未對其他工具提供支援。
這裡介紹了一些檢查網站問題的工具 內容。請記住,這些掃描程式無法保證 找出各種有問題的內容
Google 另外提供了以下資源,可能對您有所幫助:
,瞭解如何調查及移除這項存取權。