Ten przewodnik został stworzony specjalnie na potrzeby typu ataków, które dodają do witryny strony z bezsensownym tekstem zawierającym dużo słów kluczowych. Nazywamy je atakami typu „bezsensowny tekst”. Jest on przeznaczony dla użytkowników popularnych systemów zarządzania treścią (CMS), ale znajdziesz w nim przydatne informacje, nawet jeśli nie korzystasz z takiego systemu.
Zidentyfikuj ten typ włamania
Atak z wykorzystaniem bezużytecznego tekstu polega na automatycznym utworzeniu w Twojej witrynie wielu stron z pozbawionymi sensu zdaniami zawierającymi słowa kluczowe. To strony, których nie utworzyłeś(-aś), ale zawierają one adresy URL, które mogą zachęcać użytkowników do kliknięcia. Celem hakerów jest wyświetlanie zhakowanych stron na wysokich pozycjach w wynikach wyszukiwania Google. Następnie, gdy użytkownicy klikają te strony, są przekierowywani do witryn niepowiązanych z wynikiem wyszukiwania. Gdy użytkownicy klikają te strony, hakerzy zarabiają. Oto kilka przykładów typów plików, które mogą się wyświetlać w witrynie zaatakowanej przez hakerów:
www.example.com/cheap-hair-styles-cool.html
www.example.com/free-pictures-fun.html
www.example.com/nice-song-download-file.php
Czasami znajdują się w folderze utworzonym z losowych znaków i używają różnych języków:
www.example.com/jfwoea/cheap-hair-styles-cool.html
www.example.com/jfwoea/free-pictures-fun.html
www.example.com/jfwoea/www-ki-motn-dudh-photo.php
www.example.com/jfwoea/foto-cewe-zaman-sekarang.php
Najpierw sprawdź w Search Console narzędzie Problemy dotyczące bezpieczeństwa, aby sprawdzić, czy Google wykryło w Twojej witrynie jakieś zhakowane strony. Czasami takie strony możesz też odkryć, otwierając okno wyszukiwarki Google i wpisując site:_your site url_
z adresem URL poziomu katalogu swojej witryny. Zobaczysz na niej strony, które Google zindeksował w Twojej witrynie, w tym strony zaatakowane przez hakerów. Przejrzyj kilka stron wyników wyszukiwania, aby sprawdzić, czy nie ma na nich nietypowych adresów URL. Jeśli w wyszukiwarce Google nie widzisz żadnych zhakowanych treści, użyj tych samych haseł wyszukiwania w innej wyszukiwarce. Oto przykład tego, jak to może wyglądać:
Gdy klikniesz link do zhakowanej strony, zwykle zostaniesz przekierowany do innej witryny lub zobaczysz stronę pełną niezrozumiałych treści. Możesz też zobaczyć komunikat o tym, że strona nie istnieje (np. błąd 404). Nie daj się oszukać. Hakerzy mogą próbować nakłonić Cię do myślenia, że strona została usunięta lub naprawiona, podczas gdy nadal jest zaatakowana. Robią to, ukrywając treści. Aby sprawdzić, czy w witrynie nie występuje wyświetlanie różnych wersji strony, wpisz adresy URL witryny w narzędziu do sprawdzania adresów URL. Narzędzie Pobierz jako Google pozwala zobaczyć ukryte treści.
Jeśli widzisz te problemy, Twoja witryna prawdopodobnie została zaatakowana w ten sposób.
Napraw hack
Zanim usuniesz pliki, utwórz ich kopię offline na wypadek, gdyby trzeba było je później przywrócić. Lepiej jeszcze, utwórz kopię zapasową całej witryny przed rozpoczęciem procesu czyszczenia. Możesz to zrobić, zapisując wszystkie pliki na serwerze w innej lokalizacji lub wyszukując najlepsze opcje kopii zapasowej dla danego systemu zarządzania treścią (CMS). Jeśli korzystasz z systemu CMS, utwórz też kopię zapasową bazy danych.
Sprawdzanie pliku .htaccess
(2 kroki)
Hakerzy używający kodu generującego bełkot przekierowują użytkowników z Twojej witryny za pomocą pliku .htaccess
.
Krok 1
Znajdź w witrynie plik .htaccess
. Jeśli nie wiesz, gdzie go znaleźć, a korzystasz z systemu CMS, takiego jak WordPress, Joomla czy Drupal, wyszukaj w wyszukiwarce „lokalizacja pliku .htaccess” wraz z nazwą systemu CMS.
W zależności od witryny możesz zobaczyć wiele plików .htaccess
.
Utwórz listę wszystkich lokalizacji plików .htaccess
.
Krok 2
Zastąp wszystkie pliki .htaccess
czystą lub domyślną wersją pliku .htaccess
. Domyślną wersję pliku .htaccess
możesz zwykle znaleźć, wyszukując „domyślny plik .htaccess
” i nazwę systemu CMS. W przypadku witryn z większą liczbą plików .htaccess
znajdź czystą wersję każdego z nich i je zastąp.
Jeśli nie ma domyślnego pliku .htaccess
i nigdy nie skonfigurowano w witrynie pliku .htaccess
, znaleziony w niej plik .htaccess
jest prawdopodobnie złośliwy.
Na wszelki wypadek zapisz kopię plików .htaccess
w trybie offline i usuń plik .htaccess
ze swojej witryny.
Znajdowanie i usuwanie innych złośliwych plików (5 kroków)
Zidentyfikowanie szkodliwych plików może być trudne i czasochłonne. Poświęć trochę czasu na sprawdzenie plików. Jeśli jeszcze tego nie zrobisz, warto utworzyć kopię zapasową plików w witrynie. Wyszukaj w Google hasła „tworzenie kopii zapasowej witryny” oraz nazwę swojego systemu CMS, aby znaleźć instrukcje tworzenia kopii zapasowej witryny.
Krok 1
Jeśli używasz systemu CMS, zainstaluj ponownie wszystkie podstawowe (domyślne) pliki, które są dostępne w domyślnej dystrybucji systemu CMS, a także wszystko, co zostało przez Ciebie dodane (np. motywy, moduły, wtyczki). Dzięki temu masz pewność, że pliki nie zawierają treści pochodzących z hakowania. Aby znaleźć instrukcje ponownej instalacji, wyszukaj w Google hasło „reinstall” (czyli „ponowna instalacja”) wraz z nazwą systemu CMS. Jeśli masz wtyczki, moduły, rozszerzenia lub motywy, zainstaluj je ponownie.
Krok 2
Teraz musisz sprawdzić, czy pozostały jakieś złośliwe lub naruszone pliki. To najtrudniejsza i najbardziej czasochłonna część procesu, ale po jej zakończeniu będziesz już prawie gotowy.
W przypadku tego rodzaju włamania zwykle występują 2 typy plików: pliki .txt
i pliki .php. Pliki .txt
to pliki szablonów, a pliki .php
określają, jakie bezsensowne treści mają być wczytywane do witryny.
Najpierw poszukaj plików .txt
. W zależności od tego, jak łączysz się z witryną, powinna pojawić się funkcja wyszukiwania plików. Wyszukaj „.txt”, aby wyświetlić wszystkie pliki o rozszerzeniu .txt
. Większość z nich to legalne pliki, takie jak umowy licencyjne czy pliki Readme. Szukasz zbioru plików .txt
zawierających kod HTML służący do tworzenia szablonów spamowych. Oto fragmenty różnych fragmentów kodu, które możesz znaleźć w złośliwych plikach .txt
.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
Hakerzy tworzą spamerskie strony, posługując się metodą zastępowania słów kluczowych. Najprawdopodobniej zobaczysz jakieś ogólne słowo, które może być zastąpione w hakowanym pliku.
Ponadto większość z nich zawiera kod, który umieszcza spamowe linki i teksty poza widoczną częścią strony.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
Usuń te pliki .txt
. Jeśli wszystkie znajdują się w tym samym folderze, usuń cały folder.
Krok 3
Złośliwe pliki PHP jest wykryć trochę trudniej. W Twojej witrynie może znajdować się 1 lub wiele złośliwych plików PHP. Mogą być one zawarte w tym samym podkatalogu lub rozproszone po całej witrynie.
Nie musisz otwierać i przeglądać wszystkich plików PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz zbadać. Oto kilka sposobów na określenie, które pliki PHP są podejrzane:
- Ponieważ pliki CMS zostały już ponownie załadowane, sprawdź tylko pliki, które nie należą do domyślnych plików ani folderów CMS. Dzięki temu usuniesz dużą liczbę plików PHP i będziesz mieć do sprawdzenia tylko kilka plików.
- Posortuj pliki w witrynie według daty ostatniej modyfikacji. Poszukaj plików, które zostały zmodyfikowane w ciągu kilku miesięcy od momentu, gdy po raz pierwszy odkryto, że witryna została zhakowana.
- Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
Krok 4
Gdy masz już listę podejrzanych plików PHP, sprawdź, czy są one szkodliwe. Jeśli nie znasz języka PHP, ten proces może zająć więcej czasu, dlatego warto zapoznać się z dokumentacją PHP. Jeśli kodowanie jest dla Ciebie zupełnie nowe, zalecamy uzyskanie pomocy. Tymczasem możesz zwracać uwagę na podstawowe wzorce, które mogą wskazywać na złośliwe pliki.
Jeśli używasz systemu CMS i nie edytujesz tych plików bezpośrednio, porównaj pliki na serwerze z listą domyślnych plików dołączonych do systemu CMS oraz wszelkich wtyczek i motywów. Poszukaj plików, które nie pasują do folderu, a także plików, które są większe niż ich domyślna wersja.
Najpierw przejrzyj już zidentyfikowane podejrzane pliki, aby znaleźć duże bloki tekstu zawierające kombinację pozornie przypadkowych liter i liczb. Duży blok tekstu jest zwykle poprzedzony kombinacją funkcji PHP, takich jak base64_decode
, rot13
, eval
, strrev
lub gzinflate
.
Oto przykładowy blok kodu. Czasami cały ten kod jest wciśnięty w jeden długi wiersz tekstu, przez co wygląda na mniejszy, niż jest w rzeczywistości.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Czasami kod nie jest pomieszany i wygląda jak zwykły skrypt. Jeśli nie masz pewności, czy kod jest uszkodzony, odwiedź Forum pomocy Centrum wyszukiwarki Google, gdzie grupa doświadczonych webmasterów pomoże Ci sprawdzić pliki.
Krok 5
Teraz, gdy już wiesz, które pliki są podejrzane, utwórz ich kopię zapasową lub lokalną, zapisując je na komputerze, na wypadek gdyby któryś z nich nie był złośliwy. Następnie usuń podejrzane pliki ze swojej witryny.
Sprawdź, czy witryna jest wolna od błędów
Gdy pozbędziesz się zhakowanych plików, sprawdź, czy Twoja ciężka praca przyniosła efekty. Pamiętasz te strony z bełkotem, które zidentyfikowałeś wcześniej? Aby sprawdzić, czy nadal istnieją, użyj narzędzia Pobierz jako Google. Jeśli w Fetch as Google pojawi się komunikat „Nie znaleziono”, prawdopodobnie wszystko jest w porządku i możesz przejść do naprawiania luk w bezpieczeństwie w swojej witrynie.
Jak zapobiec ponownym atakom?
Naprawienie luk w bezpieczeństwie witryny jest niezbędnym ostatnim krokiem w procesie naprawiania witryny. Niedawne badanie wykazało, że 20% zaatakowanych witryn zostaje ponownie zhakowanych w ciągu jednego dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Aby rozpocząć dochodzenie, przeczytaj nasz przewodnik Najczęściej spotykane ataki spamerskie. Jeśli jednak nie możesz ustalić, w jaki sposób Twoja witryna została zhakowana, wykonaj tę listę kontrolną, aby zmniejszyć podatność witryny na ataki:
- Regularnie skanuj komputer: użyj dowolnego popularnego skanera antywirusowego, aby sprawdzić, czy nie ma wirusów ani luk w zabezpieczeniach.
- Regularnie zmieniaj hasła: regularna zmiana haseł do wszystkich kont Twojej witryny, takich jak konto dostawcy hostingu, FTP i CMS, może uniemożliwić nieautoryzowany dostęp do witryny. Do każdego konta musisz utworzyć silne, unikalne hasło.
- Używaj uwierzytelniania dwuskładnikowego (2FA): rozważ włączenie 2FA w przypadku każdej usługi, która wymaga logowania. 2 FA utrudnia hakerom logowanie się, nawet jeśli uda im się wykraść Twoje hasło.
- Regularnie aktualizuj CMS, wtyczki, rozszerzenia i moduły: Mam nadzieję, że ten krok został już przez Ciebie wykonany. Wiele witryn jest hakowanych, ponieważ działają one na nieaktualnym oprogramowaniu. Niektóre systemy CMS obsługują automatyczne aktualizacje.
- Rozważ wykupienie subskrypcji usługi bezpieczeństwa, która będzie monitorować Twoją witrynę: istnieje wiele świetnych usług, które za niewielką opłatą mogą pomóc Ci w monitorowaniu witryny. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.
Dodatkowe materiały
Jeśli nadal masz problemy z poprawieniem witryny, możesz skorzystać z kilku innych źródeł.
Te narzędzia przeskanują witrynę i być może znajdą problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.
To tylko niektóre z narzędzi, które mogą skanować Twoją witrynę pod kątem problematycznych treści. Pamiętaj, że te skanery nie są w stanie wykryć wszystkich rodzajów problematycznych treści.
Dodatkowe zasoby Google, które mogą się przydać: