本指南专门针对一种会在您的网站上创建自动生成的日语文本的黑客行为(我们将其称为“日语关键字黑客”)而设计。本指南面向使用热门内容管理系统 (CMS) 的用户,但即使您不使用 CMS,也会发现本指南很有用。
我们希望确保本指南对您确实有帮助。 提供反馈,帮助我们改进!
识别此类黑客攻击
日语关键字黑客行为通常会使用自动生成的日语文字在您的网站上随机生成的目录名(例如 http://example.com/ltjmnjp/341.html)中创建新网页。这些网页会利用指向出售冒牌商品的商店的联属营销链接创收,随后亦会显示在 Google 搜索结果中。下面是一个此类页面的外观示例:
在这种类型的入侵中,黑客通常会在 Search Console 中将自己添加为资源所有者,以操纵您网站的设置(例如地理定位或站点地图)来增加利润。如果您收到通知,称有陌生人在 Search Console 中验证了您的网站,则很有可能是您的网站遭到了黑客入侵。
首先,请查看 Search Console 中的安全问题工具,看看 Google 是否在您的网站上发现了任何被入侵的网页。有时,您还可以打开 Google 搜索窗口,然后输入 site:_your site url_ 和您网站的根级网址,以便找到此类网页。这会显示 Google 为您的网站编入索引的网页,包括遭到入侵的网页。翻阅几页搜索结果,看看是否发现了任何不寻常的网址。如果您在 Google 搜索中没有看到任何被入侵的内容,请使用其他搜索引擎并输入相同的搜索字词。示例如下:
通常,当您点击指向已被入侵网页的链接时,会被重定向到其他网站,或者看到一个充斥着乱码内容的页面。不过,您可能还会看到一条消息,提示网页不存在(例如 404 错误)。请勿上当!黑客会尝试欺骗您,让您以为网页已被移除或已修复,但实际上该网页仍处于被入侵状态。他们会通过伪装内容来实现这一点。在网址检查工具中输入您网站的网址,检查是否存在欺骗行为。借助“Google 抓取方式”工具,您可以查看底层隐藏内容。
如果您发现这些问题,则表明您的网站很可能已受到此类黑客入侵的影响。
修复黑客攻击
开始之前,请先为要移除的所有文件创建离线副本,以备日后需要恢复这些文件时使用。更好的是,在开始清理流程之前备份整个网站。为此,您可以将服务器上的所有文件保存到服务器之外的位置,也可以为您的特定内容管理系统 (CMS) 搜索最佳备份选项。如果您使用的是 CMS,请同时备份数据库。
从 Search Console 中移除新建的账号
如果有人在您的 Search Console 账号中添加了您不认识的新所有者,请尽快撤消其访问权限。您可以在 Search Console 验证页面上查看哪些用户已为您的网站完成验证。点击相应网站的“验证详情”,查看所有经过验证的用户。
如需从 Search Console 中移除所有者,请参阅“管理用户、所有者和权限”帮助中心的“移除所有者”部分。您需要移除关联的验证令牌,该令牌通常是网站根目录中的 HTML 文件,或模仿 HTML 文件的动态生成的 .htaccess 文件。
如果您在网站上找不到 HTML 验证令牌,请检查 .htaccess 文件中是否存在重写规则。重写规则将如下所示:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
如需从 .htaccess 文件中移除动态生成的验证令牌,请按以下步骤操作:
检查 .htaccess 文件(2 个步骤)
除了使用 .htaccess 文件创建动态生成的验证令牌之外,黑客还经常使用 .htaccess 规则重定向用户或创建含有乱码的垃圾网页。除非您有自定义 .htaccess 规则,否则请考虑将 .htaccess 替换为全新的副本。
第 1 步
在您的网站上找到 .htaccess 文件。如果您不确定在哪里可以找到该文件,并且您使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中搜索“.htaccess 文件位置”以及 CMS 的名称。根据您的网站,您可能会看到多个 .htaccess 文件。列出所有 .htaccess 文件位置。
第 2 步
将所有 .htaccess 文件替换为干净或默认版本的 .htaccess 文件。通常,您可以通过搜索“默认的 .htaccess 文件”和 CMS 的名称来找到默认版本的 .htaccess 文件。对于包含多个 .htaccess 文件的网站,请找到每个文件的干净版本并进行替换。
如果不存在默认的 .htaccess,并且您从未在自己的网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件可能是恶意的。为以防万一,请离线保存 .htaccess 文件的副本,并从您的网站中删除 .htaccess 文件。
移除所有恶意文件和脚本(共 4 步)
识别恶意文件可能很棘手且耗时。请仔细检查您的文件。如果您尚未备份网站上的文件,现在是时候备份了。在 Google 上搜索“备份网站”和您的 CMS 名称,找到有关如何备份网站的说明。
第 1 步
如果您使用 CMS,请重新安装 CMS 默认发行版中包含的所有核心(默认)文件,以及您添加的所有内容(例如主题、模块或插件)。这有助于确保这些文件不含被入侵的内容。您可以使用 Google 搜索“重新安装”和您的 CMS 名称,找到重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必一并重新安装。
第 2 步
黑客通常会修改您的站点地图或添加新的站点地图,以便更快地将其网址编入索引。如果您之前有站点地图文件,请检查该文件是否包含任何可疑链接,并将其从站点地图中移除。如果您不记得是否向自己的网站添加了某些站点地图文件,请仔细检查这些文件,如果其中仅包含垃圾网址,请将其移除。
第 3 步
查找任何其他恶意文件或已被入侵的文件。您可能已在前两个步骤中移除所有恶意文件,但最好还是完成以下几个步骤,以防您的网站上还有其他文件遭到入侵。
不要因为认为自己需要打开并仔细查看每个 PHP 文件而感到不知所措。首先,创建要调查的可疑 PHP 文件列表。您可以通过以下几种方法确定哪些 PHP 文件可疑:
- 如果您已重新加载 CMS 文件,请仅查看不属于默认 CMS 文件或文件夹的文件。这应该会排除许多 PHP 文件,只留下少数几个文件供您查看。
- 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站遭到入侵后的几个月内被修改的文件。
- 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。
第 4 步
列出可疑 PHP 文件后,检查这些文件是否包含恶意内容。如果您不熟悉 PHP,此过程可能需要花费更多时间,因此不妨查看一些 PHP 文档。如果您是编码纯新手,建议您寻求帮助。与此同时,您可以查找一些基本模式来识别恶意文件。
如果您使用的是 CMS,并且不习惯直接修改其 PHP 文件,请将服务器上的文件与 CMS 及其所有插件和主题打包的默认文件列表进行比较。查找不属于该文件夹的文件,以及大于其默认版本的文件。
扫描您已识别出的可疑文件,查找经过混淆处理的代码块。这可能看起来像是一些看似杂乱无序的字母和数字的组合,通常前面会带有 PHP 函数的组合,例如 base64_decode、rot13、eval、strrev 或 gzinflate。以下是该代码块可能的示例。有时,所有这些代码都会塞入一行长文本中,看起来比实际要小。
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
检查您的网站是否干净
清除被入侵的文件后,请检查您的努力是否有成效。还记得您之前发现的那些乱码页面吗?请再次使用“Google 抓取方式”工具检查这些网页,看看它们是否仍然存在。如果在“以 Google 身份抓取”中,这些网页的响应为“未找到”,则说明您的网站可能没有问题,您可以继续修复网站上的漏洞。
如何防止再次遭到入侵?
修复网站上的漏洞是修复网站的最后一步,至关重要。最近的一项研究发现,20% 的被黑网站会在一天内再次遭到入侵。了解网站遭到入侵的具体方式非常有用。请参阅我们的垃圾内容发布者最常用的网站入侵方法指南,开始调查。不过,如果您无法确定自己的网站是如何被黑客入侵的,请参考以下核对清单,采取相应措施来减少网站的漏洞。
- 定期扫描计算机:使用任何流行的杀毒软件检查是否存在病毒或漏洞。
- 定期更改密码:定期更改您所有网站账号(例如托管服务提供商、FTP 和 CMS)的密码,可以防止未经授权的访问。请务必为每个账号设置安全系数高的专用密码。
- 使用双重身份验证 (2FA):不妨考虑为需要您登录的任何服务启用 2FA。借助两步验证,即使黑客成功盗取了您的密码,也更难登录。
- 定期更新 CMS、插件、扩展程序和模块:希望您已完成此步骤。许多网站之所以遭到入侵,是因为它们运行的是过时的软件。某些内容管理系统支持自动更新功能。
- 考虑订阅安全服务来监控您的网站:市场上有很多优质服务,只需支付少量费用即可帮助您监控网站。建议您向这些组织注册,以确保您的网站安全无虞。
其他资源
如果您仍在尝试解决网站问题,以下几个资源可能对您有所帮助。
这些工具会扫描您的网站,或许能够找到存在问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。
以上只是一些可能能够扫描您的网站以查找有问题的内容的工具。请注意,这些扫描器无法保证能识别出所有类型的问题内容。
下面是 Google 提供的可为您提供帮助的其他资源: