תיקון הפריצה של מילות מפתח וקישורים מוסוות

המדריך הזה נוצר במיוחד עבור סוג של פריצה שמוסיף לאתר דפים של שטויות עם הרבה מילות מפתח. נתייחס לפריצה הזו בתור פריצה של מילות מפתח וקישורים מוסתרים. המדריך מיועד למשתמשים במערכות פופולריות לניהול תוכן (CMS), אבל הוא שימושי גם אם אתם לא משתמשים במערכת ניהול תוכן.

אנחנו רוצים לוודא שהמדריך הזה באמת עוזר לך. שליחת משוב כדי לעזור לנו להשתפר

זיהוי סוג הפריצה הזה

הפריצה של מילות המפתח והקישורים המוסווים יוצרת באופן אוטומטי הרבה דפים עם טקסט, קישורים ותמונות לא הגיוניים. לפעמים הדפים האלה מכילים אלמנטים בסיסיים של תבנית מהאתר המקורי, כך שלמראית עין הדפים עשויים להיראות כמו חלקים רגילים באתר שלכם עד שתקראו את התוכן.

הדפים שנפרצו נוצרו כדי לבצע מניפולציה בגורמי הדירוג של Google. לרוב, האקרים מנסים לייצר הכנסות מהמצב הזה על ידי מכירת הקישורים בדפים שנפרצו לצדדים שלישיים שונים. לרוב, הדפים שנפרצו מפנים את המבקרים לדף לא קשור שבו האקרים יכולים להרוויח כסף.

קודם כול, כדאי לבדוק את הכלי בעיות אבטחה ב-Search Console כדי לראות אם Google זיהתה באתר שלכם אחת מהדפים שנפרצו. לפעמים אפשר למצוא דפים כאלה גם על ידי פתיחת חלון של חיפוש Google והקלדה של site:_your site url_, עם כתובת ה-URL ברמת הבסיס של האתר. בדוח יוצגו הדפים ש-Google הוסיפה לאינדקס של האתר, כולל הדפים שנפרצו. עיינו בכמה דפים של תוצאות החיפוש כדי לראות אם אתם מזהים כתובות URL לא רגילות. אם לא מופיע תוכן שנפרץ בחיפוש Google, השתמשו באותם מונחי חיפוש במנוע חיפוש אחר. דוגמה למראה של הקוד:

תוצאות חיפוש שנוצרו על ידי הפריצה הזו.
הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשאתם לוחצים על קישור לדף שנפרץ, אתם מועברים לאתר אחר או מוצג לכם דף מלא בתוכן לא מובן. עם זאת, יכול להיות שתופיע גם הודעה שמציינת שהדף לא קיים (לדוגמה, שגיאה מסוג 404). אל תתנו לזה להטעות אתכם! האקרים ינסו להטעות אתכם ולגרום לכם לחשוב שהדף לא קיים או תוקן, בזמן שהוא עדיין נפרץ. הם עושים זאת באמצעות הסוואה של תוכן. כדי לבדוק אם יש הטעיה, מזינים את כתובות ה-URL של האתר בכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לכם לראות את התוכן המוסתר הבסיסי.

אם אתם רואים את הבעיות האלה, סביר להניח שהאתר שלכם נפגע מהסוג הזה של פריצה.

דף לדוגמה שנוצר באמצעות הפריצה הזו.
דוגמה לדף שנוצר באמצעות הפריצה הזו.

תיקון הפריצה

לפני שמתחילים, כדאי ליצור עותק אופליין של כל הקבצים לפני שמסירים אותם, למקרה שיהיה צורך לשחזר אותם מאוחר יותר. עדיף לגבות את האתר כולו לפני שמתחילים בתהליך הניקוי. כדי לעשות זאת, אפשר לשמור את כל הקבצים שנמצאים בשרת במיקום מחוץ לשרת, או לחפש את אפשרויות הגיבוי הטובות ביותר למערכת ניהול התוכן (CMS) הספציפית שלכם. אם אתם משתמשים במערכת ניהול תוכן, עליכם לגבות גם את מסד הנתונים.

בדיקת קובץ .htaccess (3 שלבים)

הפריצה של מילות המפתח והקישורים המוסווים מתבססת על קובץ .htaccess כדי ליצור באופן אוטומטי דפים מוסתרים באתר. מומלץ להכיר את היסודות של .htaccess באתר הרשמי של Apache כדי להבין טוב יותר איך הפריצה משפיעה על האתר שלכם, אבל זה לא חובה.

שלב 1

מאתרים את קובץ .htaccess באתר. אם אתם לא בטוחים איפה הוא נמצא ואתם משתמשים במערכת ניהול תוכן כמו WordPress,‏ Joomla או Drupal, תוכלו לחפש במנוע חיפוש את 'מיקום הקובץ ‎.htaccess' יחד עם שם מערכת ניהול התוכן. בהתאם לאתר, יכול להיות שיופיעו כמה קבצים מסוג .htaccess. יוצרים רשימה של כל המיקומים של הקבצים של .htaccess.

שלב 2

פותחים את הקובץ .htaccess כדי להציג את התוכן שלו. מחפשים שורת קוד שנראית בערך כך:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

המשתנים בשורה הזו יכולים להשתנות. הערכים של cj2fa ו-tobeornottobe יכולים להיות כל שילוב של אותיות או מילים. חשוב לזהות את הערך של .php שמצוין בשורה הזו.

כותבים את שם הקובץ .php שמוזכר בקובץ .htaccess. בדוגמה, קובץ .php נקרא injected_file.php, אבל בפועל שם הקובץ לא יהיה ברור כל כך. בדרך כלל זו קבוצה אקראית של מילים לא מזיקות כמו horsekeys.php או potatolake.php. סביר להניח שמדובר בקובץ .php זדוני, ואנחנו נצטרך לאתר אותו ולהסיר אותו מאוחר יותר.

שלב 3

מחליפים את כל הקבצים מסוג .htaccess בגרסה נקייה או בגרסה שמוגדרת כברירת מחדל של הקובץ .htaccess. בדרך כלל אפשר למצוא גרסה שמוגדרת כברירת מחדל של קובץ .htaccess על ידי חיפוש של 'קובץ .htaccess שמוגדר כברירת מחדל' ושם המערכת לניהול תוכן. באתרים עם כמה קובצי .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולבצע את ההחלפה.

אם לא קיים קובץ .htaccess שמוגדר כברירת מחדל ואף פעם לא הגדרתם קובץ .htaccess באתר, סביר להניח שקובץ ה-.htaccess שנמצא באתר שלכם הוא זדוני. לשמור עותק של קובצי .htaccess במצב אופליין למקרה הצורך, ולהסיר אותם מהאתר.

איתור והסרה של קבצים זדוניים אחרים (5 שלבים)

זיהוי קבצים זדוניים יכול להיות מסובך ולקחת הרבה זמן. כדאי להקדיש זמן לבדיקה של הקבצים. אם עדיין לא עשיתם זאת, זה הזמן לגבות את הקבצים באתר. מחפשים ב-Google את הביטוי 'גיבוי אתר' ואת שם מערכת ניהול התוכן כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, צריך להתקין מחדש את כל קבצי הליבה (ברירת המחדל) שמגיעים עם חלוקת ברירת המחדל של מערכת ניהול התוכן, וגם כל מה שהוספתם (כמו עיצובים, מודולים ופלאגינים). כך אנחנו יכולים לוודא שהקבצים האלה לא מכילים תוכן שנפרץ. אפשר לחפש ב-Google את המילים 'התקנה מחדש' ואת שם מערכת ניהול התוכן כדי למצוא הוראות להתקנה מחדש. אם יש לכם תוספים, מודולים, תוספי צד שלישי או עיצובים, חשוב להתקין אותם מחדש.

שלב 2

מתחילים בחיפוש הקובץ .php שזיהיתם קודם בקובץ .htaccess. בהתאם לאופן שבו אתם ניגשים לקבצים בשרת, אמורה להיות לכם פונקציונליות חיפוש כלשהי. מחפשים את שם הקובץ הזדוני. אם תמצאו אותו, קודם עליכם ליצור עותק לגיבוי ולאחסן אותו במיקום אחר למקרה שתצטרכו לשחזר אותו, ואז למחוק אותו מהאתר.

שלב 3

מחפשים קבצים זדוניים או שנחשפו. יכול להיות שכבר הסרתם את כל הקבצים הזדוניים בשני השלבים הקודמים, אבל מומלץ לבצע את השלבים הבאים למקרה שיש עוד קבצים שנפרצו באתר.

אל תיבהלו מהמחשבה שצריך לפתוח ולעיין בכל קובץ PHP. מתחילים ביצירת רשימה של קובצי PHP חשודים שרוצים לבדוק. ריכזנו כאן כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

  • אם כבר טעינת מחדש את קובצי ה-CMS, צריך לבדוק רק קבצים שלא נכללים בתיקיות או בקובצי ברירת המחדל של ה-CMS. הפעולה הזו אמורה להוציא משיקול דעתכם הרבה קובצי PHP, ולהשאיר לכם כמה קבצים שצריך לבדוק.
  • ממיינים את הקבצים באתר לפי התאריך שבו בוצע השינוי האחרון בהם. מחפשים קבצים ששונו בחודשים הראשונים לאחר גילוי הפריצה לאתר.
  • ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים באופן חריג.

שלב 4

אחרי שתקבלו רשימה של קובצי PHP חשודים, עליכם לבדוק אם הם זדוניים. אם אתם לא מכירים את PHP, התהליך הזה עשוי להיות זמן רב יותר, לכן מומלץ לקרוא מסמכי עזרה בנושא PHP. אם אתם מתחילים בתחום התכנות, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן ואתם לא נוהגים לערוך את הקבצים האלה ישירות, תוכלו להשוות בין הקבצים בשרת לבין רשימת קבצי ברירת המחדל שכלולים בחבילת מערכת ניהול התוכן, וכן בין הקבצים של הפלאגינים והעיצובים. מחפשים קבצים שלא שייכים לאפליקציה, וגם קבצים גדולים יותר מהגרסה שמוגדרת כברירת מחדל.

קודם כול, בודקים את הקבצים החשודים שכבר זיהיתם כדי לחפש קטעי טקסט גדולים עם שילוב של אותיות ומספרים שנראים כאילו הם מעורבבים. בדרך כלל לפני מקטע הטקסט הגדול מופיעה שילוב של פונקציות PHP כמו base64_decode,‏ rot13,‏ eval,‏ strrev או gzinflate. דוגמה למראה של בלוק הקוד הזה. לפעמים כל הקוד הזה יאוחסן בשורה ארוכה אחת של טקסט, כך שהוא ייראה קטן יותר ממה שהוא באמת.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode
(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"
));

לפעמים הקוד לא מבולבול ופשוט נראה כמו סקריפט רגיל. אם אתם לא בטוחים שהקוד פגום, תוכלו להיכנס לפורומים שלנו למנהלי אתרים, שבהם קבוצה של מנהלי אתרים מנוסים יכולה לעזור לכם לבדוק את הקבצים.

שלב 5

עכשיו, אחרי שזיהיתם אילו קבצים חשודים, עליכם ליצור עותק לגיבוי או עותק מקומי על ידי שמירתם במחשב, למקרה שאחד מהקבצים לא זדוני, ולמחוק את הקבצים החשודים מהאתר.

בדיקה אם האתר נקי

אחרי שמסיימים להסיר את הקבצים שנפרצו, כדאי לבדוק אם המאמץ השתלם. זוכרים את הדפים עם הטקסט הלא ברור שזיהיתם מקודם? צריך להשתמש שוב בכלי 'אחזור כמו Google' כדי לבדוק אם הם עדיין קיימים. אם התשובה היא 'לא נמצא' ב'אחזור כפי ש-Google עושה', סביר להניח שהאתר שלכם במצב טוב ותוכלו להמשיך לתקן את נקודות החולשה באתר.

איך אפשר למנוע פריצה חוזרת?

תיקון נקודות החולשה באתר הוא השלב האחרון והחיוני בתיקון האתר. מחקר שנערך לאחרונה מצא ש-20% מהאתרים שנפרצו נפרצים שוב תוך יום אחד. חשוב לדעת בדיוק איך האתר נפרץ. כדי להתחיל את החקירה, מומלץ לעיין במדריך שלנו בנושא הדרכים המובילות שבהן אתרים נפרצים על ידי שולחי ספאם. עם זאת, אם אתם לא מצליחים להבין איך האתר נפרץ, הנה רשימת משימות שתוכלו לבצע כדי לצמצם את נקודות החולשה באתר:

  • סריקת המחשב באופן קבוע: כדאי להשתמש בסורק וירוסים פופולרי כלשהו כדי לבדוק אם יש וירוסים או נקודות חולשה.
  • שינוי הסיסמה באופן קבוע: שינוי קבוע של הסיסמאות לכל החשבונות של האתר, כמו ספק האירוח, ה-FTP וה-CMS, יכול למנוע גישה לא מורשית לאתר. חשוב ליצור סיסמה חזקה וייחודית לכל חשבון.
  • שימוש באימות דו-שלבי (2FA): כדאי להפעיל אימות דו-שלבי בכל שירות שבו אתם נדרשים להיכנס. אימות דו-שלבי מקשה על האקרים להיכנס לחשבון, גם אם הם מצליחים לגנוב את הסיסמה.
  • עדכון קבוע של מערכת ניהול התוכן, הפלאגינים, התוספים והמודולים: אם לא, כדאי לעשות זאת. הרבה אתרים נפרצים כי הם פועלים עם תוכנות מיושנות. חלק ממערכות ניהול התוכן תומכות בעדכון אוטומטי.
  • כדאי להירשם לשירות אבטחה כדי לעקוב אחרי האתר: יש הרבה שירותים מעולים שיכולים לעזור לכם לעקוב אחרי האתר בתשלום קטן. מומלץ להירשם אליהם כדי לשמור על אבטחת האתר.

מקורות מידע נוספים

אם עדיין נתקלת בבעיות בתיקון האתר, יש עוד כמה מקורות מידע שיכולים לעזור לך.

הכלים האלה סורקים את האתר שלכם ויכולים למצוא תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה או תומכת בהם.

אלה רק כמה כלים שיכולים לסרוק את האתר שלכם כדי לאתר תוכן בעייתי. חשוב לזכור שאי אפשר להבטיח שהסורקים האלה יזהו כל סוג של תוכן בעייתי.

ריכזנו כאן מקורות מידע נוספים של Google שיכולים לעזור לך: