W tym przewodniku omawiamy ataki hakerów polegające na dodawaniu do witryny stron z dużą ilością bezużytecznych słów kluczowych. Jest to tzw. atak z wykorzystaniem bezużytecznego tekstu. Narażeni są na niego użytkownicy popularnych systemów zarządzania treścią (CMS), ale podane tu informacje mogą Ci się przydać, nawet jeśli nie korzystasz z takiego systemu.
Chcemy mieć pewność, że ten przewodnik będzie dla Ciebie naprawdę przydatny. Prześlij opinię, aby pomóc nam ulepszać tę usługę.
Rozpoznaj ten typ ataku
Atak z wykorzystaniem bezsensownego tekstu automatycznie tworzy w witrynie wiele stron z bezsensownymi zdaniami wypełnionymi słowami kluczowymi. Są to strony, które nie zostały utworzone przez Ciebie, ale ich adresy URL mogą być atrakcyjne dla użytkowników. W ten sposób hakerzy pojawiają się w wyszukiwarce Google. Następnie, gdy użytkownicy wejdą na te strony, zostaną przekierowani na stronę, która nie jest związana z tematem. Hakerzy zarabiają, gdy użytkownicy odwiedzają te strony. Oto kilka przykładów plików, które można znaleźć w witrynie w wyniku ataku z wykorzystaniem bezużytecznego tekstu:
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
Czasami pojawiają się w folderze składającym się z losowych znaków i używają różnych języków:
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
Najpierw skorzystaj z narzędzia Problemy dotyczące bezpieczeństwa w Search Console i sprawdź, czy Google znajduje zmodyfikowane strony w Twojej witrynie. Takie strony można też wykryć, wpisując site:_your site url_ w wyszukiwarce Google i podając główny adres URL swojej witryny. Spowoduje to wyświetlenie stron zindeksowanych przez Google w Twojej witrynie, w tym stron zaatakowanych przez hakerów. Przejrzyj kilka stron wyników wyszukiwania pod kątem nietypowych adresów URL. Jeśli w wyszukiwarce Google nie znajdziesz zmodyfikowanych treści, użyj innej wyszukiwarki. Przykład:
Zwykle po kliknięciu linku do zaatakowanej strony następuje przekierowanie do innej witryny lub strona pełna bezużytecznych treści. Może się jednak pojawić komunikat sugerujący, że strona nie istnieje (np. błąd 404). Nie daj się zwieść! Haker będzie usiłował Cię przekonać, że strona została zaatakowana lub że wciąż jest zaatakowana. Wykorzystywane są do tego maskowanie Aby sprawdzić, czy tak się nie stało, wpisz adresy URL witryny do narzędzia do sprawdzania adresów URL. Pozwoli to zobaczyć ukryte treści.
Jeśli widzisz te problemy, to najprawdopodobniej witryna została zaatakowana przez hakerów.
Naprawianie błędu
Zanim zaczniesz usuwać pliki, utwórz ich kopię offline na wypadek, gdyby trzeba je było później przywrócić. Jeszcze lepszym rozwiązaniem jest utworzenie kopii zapasowej całej witryny przed rozpoczęciem procesu czyszczenia. Możesz zapisać wszystkie pliki z serwera w innej lokalizacji lub poszukać najlepszych metod tworzenia kopii zapasowej dla Twojego systemu zarządzania treścią (CMS). Jeśli używasz systemu CMS, utwórz również kopię zapasową bazy danych.
Sprawdź plik .htaccess (2 kroki)
Atak z wykorzystaniem bezużytecznego tekstu przekierowuje użytkowników z Twojej witryny za pomocą pliku .htaccess.
Krok 1
Znajdź plik .htaccess w swojej witrynie. Jeżeli nie masz pewności, gdzie go znaleźć, a korzystasz z systemu CMS takiego jak WordPress, Joomla czy Drupal, wpisz w wyszukiwarce „lokalizacja pliku .htaccess” wraz z nazwą systemu CMS.
W zależności od witryny możesz zobaczyć wiele plików .htaccess.
Utwórz listę wszystkich lokalizacji plików (.htaccess).
Krok 2
Zastąp wszystkie pliki .htaccess czystą lub domyślną wersją pliku .htaccess. Domyślną wersję pliku .htaccess można zwykle znaleźć, wyszukując „domyślny plik .htaccess” i nazwę systemu CMS. W przypadku witryn z wieloma plikami .htaccess znajdź i zastąp czystą wersję każdego z nich.
Jeśli domyślny plik .htaccess nie istnieje, a plik .htaccess nie został nigdy skonfigurowany w witrynie, znaleziony plik .htaccess jest prawdopodobnie szkodliwy.
Zapisz kopię plików(.htaccess) offline na wszelki wypadek i usuń plik .htaccess z witryny.
Znajdowanie i usuwanie innych złośliwych plików (5 kroków)
Rozpoznawanie złośliwych plików bywa trudne i czasochłonne. Nie spiesz się, sprawdzając pliki. To dobry moment, by utworzyć kopię zapasową plików w witrynie, jeśli jeszcze jej nie masz. Wyszukaj w Google „kopia zapasowa witryny” wraz z nazwą systemu CMS, by dowiedzieć się, jak utworzyć kopię zapasową witryny.
Krok 1
Jeśli używasz systemu CMS, zainstaluj ponownie wszystkie podstawowe (domyślne) pliki, które znajdują się w domyślnej dystrybucji Twojego systemu CMS, a także wszelkie dodane elementy (np. motywy, moduły i wtyczki). Dzięki temu będziemy mieć pewność, że nie są zmodyfikowane przez hakerów. Wyszukaj w Google „ponowna instalacja” wraz z nazwą systemu CMS, aby znaleźć instrukcje. Jeśli masz jakieś wtyczki, moduły, rozszerzenia lub motywy, pamiętaj, by je również zainstalować ponownie.
Krok 2
Teraz musisz sprawdzić, czy nie pozostały jakieś złośliwe lub przejęte pliki. To najtrudniejsza i najbardziej czasochłonna część procesu, ale gdy już ją otrzymasz, możesz już to zrobić.
Po ataku tego typu w witrynie najczęściej pozostają 2 typy plików: .txt i .php. Pliki .txt są plikami szablonu, a pliki .php określają, jakiego rodzaju bezsensowne treści należy wczytać w witrynie.
Zacznij od wyszukania plików .txt. W zależności od sposobu łączenia się z witryną
powinna być widoczna jakaś funkcja wyszukiwania plików. Wyszukaj „.txt”, by wyświetlić wszystkie pliki z rozszerzeniem .txt. Większość z nich będą legalnymi plikami, takimi jak umowy licencyjne lub pliki Readme. Szukasz zestawu plików .txt zawierających kod HTML służący do tworzenia spamerskich szablonów. Oto fragmenty różnych fragmentów kodu, które możesz znaleźć w tych złośliwych plikach .txt.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
Hakerzy tworzą spamerskie strony, posługując się metodą zastępowania słów kluczowych. Prawdopodobnie zobaczysz ogólne słowa, które można zastąpić w całym zaatakowanym pliku.
Poza tym większość takich plików zawiera kod, który umieszcza spamerskie linki i spamerski tekst poza widoczną częścią strony.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
Usuń te .txt pliki. Jeśli wszystkie znajdują się w tym samym folderze, usuń cały folder.
Krok 3
Złośliwe pliki PHP jest wykryć trochę trudniej. W witrynie może być jeden lub wiele złośliwych plików PHP. Wszystkie mogą być umieszczone w tym samym podkatalogu lub rozproszone w całej witrynie.
Nie obawiaj się, że trzeba będzie otwierać i sprawdzać każdy plik PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz zbadać. Oto kilka sposobów sprawdzenia, które pliki PHP mogą być podejrzane:
- Ponieważ pliki systemu CMS zostały załadowane ponownie, sprawdź tylko te pliki, które nie są domyślnymi plikami lub folderami tego systemu. W ten sposób wyeliminujesz dużą liczbę plików PHP i zostaną Ci do sprawdzenia tylko nieliczne.
- Posortuj pliki w witrynie według daty ostatniej modyfikacji. Poszukaj plików, które zostały zmodyfikowane w ciągu kilku miesięcy od momentu, gdy udało Ci się wykryć atak na witrynę.
- Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
Krok 4
Gdy sporządzisz listę podejrzanych plików PHP, sprawdź, czy nie są szkodliwe. Jeśli nie znasz się za bardzo na PHP, może to zająć trochę czasu, pomyśl więc nad przejrzeniem dokumentacji języka PHP. Użytkownikom, którzy nie mają nic wspólnego z kodowaniem, zalecamy skorzystanie z pomocy. Oto kilka podstawowych wzorców, których możesz szukać, aby identyfikować złośliwe pliki.
Jeśli korzystasz z systemu CMS i nie masz w zwyczaju bezpośrednio edytować tych plików, porównaj pliki na serwerze z listą domyślnych plików w pakiecie CMS oraz wszystkich wtyczek i motywów. Poszukaj plików, które nie należą do Ciebie, a także tych, które są większe niż ich domyślna wersja.
Najpierw przejrzyj podejrzane pliki pod kątem dużych bloków tekstu zawierającego kombinacje pozornie przemieszanych liter i liczb. Taki blok jest zwykle poprzedzony kombinacją funkcji PHP takich jak base64_decode, rot13, eval, strrev lub gzinflate.
Oto przykład, jak może wyglądać taki blok kodu. Czasem kod jest ściśnięty w jeden długi wiersz tekstu, przez co wydaje się mniejszy, niż jest w rzeczywistości.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Czasami kod nie jest zniekształcony i wygląda jak zwykły skrypt. Jeśli nie masz pewności, czy kod jest nieprawidłowy, odwiedź Forum pomocy Centrum wyszukiwarki Google, na którym doświadczeni webmasterzy pomogą Ci przejrzeć pliki.
Krok 5
Gdy już wiesz, które pliki są podejrzane, utwórz ich kopię zapasową lub lokalną, zapisując je na komputerze na wypadek, gdyby któreś z nich nie były szkodliwe, i usuń je z witryny.
Sprawdzanie, czy witryna jest czysta
Gdy zdołasz się pozbyć zmodyfikowanych plików, sprawdź, czy Twoja praca się opłaciła. Pamiętasz znalezione wcześniej strony z bezużytecznym tekstem? Użyj narzędzia Pobierz jako Google, by sprawdzić, czy wciąż istnieją. Jeśli uzyskasz odpowiedź „Nie znaleziono”, prawdopodobnie wszystko jest w porządku i możesz przejść do naprawy luk w zabezpieczeniach witryny.
Jak zapobiec ponownym atakom?
Zlikwidowanie luk w zabezpieczeniach witryny to kluczowy ostatni krok procesu usuwania błędów w witrynie. Niedawne badanie wykazało, że 20% zaatakowanych witryn ponownie zostaje zaatakowanych w ciągu jednego dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Więcej informacji znajdziesz w naszym poradniku dotyczącym najczęstszych sposobów atakowania witryn przez spamerów. Jeśli jednak nie jesteś w stanie ustalić, jak doszło do ataku, zapoznaj się z listą kontrolną rzeczy, które możesz zrobić, aby ograniczyć luki w zabezpieczeniach witryny:
- Regularnie skanuj komputer: korzystaj z któregoś z popularnych programów antywirusowych i szukaj wirusów oraz luk w zabezpieczeniach.
- Regularnie zmieniaj hasła: regularne zmienianie haseł do wszystkich kont powiązanych z witryną (FTP, CMS, konto u dostawcy usług hostingowych) może zapobiec nieautoryzowanemu dostępowi. Ważne, by dla każdego konta utworzyć silne, unikalne hasło.
- Użyj uwierzytelniania dwuskładnikowego: zastanów się nad włączeniem go we wszystkich usługach, które wymagają logowania. Utrudnia hakerom zalogowanie się, nawet jeśli zdobędą Twoje hasło.
- Regularnie aktualizuj system CMS, wtyczki, rozszerzenia i moduły: ten krok już prawdopodobnie masz za sobą. Wiele witryn zostaje zaatakowanych z powodu przestarzałego oprogramowania. Niektóre systemy CMS obsługują automatyczne aktualizacje.
- Zastanów się nad subskrypcją usługi monitorowania Twojej witryny pod kątem bezpieczeństwa: dostępnych jest wiele ciekawych usług, które za niewielką opłatą pomogą Ci w tym zadaniu. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.
Dodatkowe zasoby
Jeśli wciąż masz problem z naprawieniem szkód w witrynie, poniżej znajdziesz kilka dodatkowych zasobów, które mogą okazać się pomocne.
Te narzędzia przeskanują witrynę i być może znajdą problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.
To tylko niektóre narzędzia, które mogą skanować witrynę pod kątem problematycznych treści. Pamiętaj, że nie gwarantują one wykrycia wszystkich treści, które stanowią zagrożenie.
Dodatkowe zasoby Google, które mogą się przydać: