דף זה תורגם על ידי Cloud Translation API.

תיקון הפריצה למילת מפתח ביפנית

המדריך הזה נוצר במיוחד לסוג של פריצה טקסט ביפנית שנוצר באופן אוטומטי באתר שלך, שנתייחס אליו כאל פריצת מילות מפתח ביפנית. מיועד למשתמשים של גרסאות Content Management Systems (CMS), אבל המדריך הזה יועיל לכם גם אם אתם לא משתמשים במערכת ניהול תוכן.

אנחנו רוצים לוודא שהמדריך הזה באמת יועיל לך. שליחת משוב כדי לעזור לנו להשתפר!

זיהוי סוג הפריצה הזה

פריצת מילות המפתח ביפנית יוצרת בדרך כלל דפים חדשים טקסט ביפנית באתר שלכם, לפי שמות של ספריות שנוצרים באופן אקראי (לדוגמה, http://example.com/ltjmnjp/341.html). הדפים האלה ייצור הכנסות בעזרת קישורים של שותפים עצמאיים לחנויות שמוכרות מוצרים מזויפים של מותגים ואז הם מוצגים בחיפוש Google. הדוגמה הבאה ממחישה איך נראה אחד מהדפים האלה:

דוגמה לדף שבו נמצאת מילת המפתח ביפנית באמצעות 'פריצה'. — דף טקסט שנוצר על ידי פריצת מילת המפתח ביפנית

בפריצה מהסוג הזה, ההאקר בדרך כלל יוסיף את עצמו כנכס ב-Search Console, כדי להגדיל את הרווחים על ידי מניפולציה של הגדרות כמו מיקוד גיאוגרפי או קובצי Sitemap. אם קיבלתם הודעה על כך שמישהו שאינכם מכירים אימתם את האתר ב-Search Console, יש סיכוי גבוה שהאתר שלך נפרץ.

קודם כל בודקים את בעיות אבטחה בכלי ב-Search Console כדי לבדוק אם Google גילתה אחד מהדפים האלה. באתר שלכם. לפעמים אפשר לגלות דפים כמו זה גם על ידי פתיחת בחלון החיפוש מקלידים site:_your site url_, כאשר כתובת ה-URL ברמת הבסיס היא באתר שלך. פעולה זו תציג את הדפים ש-Google הוסיפה לאינדקס עבור האתר שלכם. כולל הדפים שנפרצו. מנווטים בכמה דפים של תוצאות חיפוש לראות אם אתם מזהים כתובות אתרים חריגות. אם לא מופיע תוכן שנוסף בפריצה ב-Google חיפוש, משתמשים באותם מונחי חיפוש במנוע חיפוש אחר. הנה דוגמה לאופן שבו זה ייראה:

דוגמה לאתר שנפרץ בחיפוש. — הדפים שנפרצו מופיעים בתוצאות החיפוש ב-Google.

בדרך כלל, כשלוחצים על קישור לדף שנפרץ, יופנו לאתר אחר, או שתראו דף שמלא בתוכן בג'יבריש. אבל, לפעמים ייתכן גם שתראו הודעה שמציינת שהדף אינו קיים לדוגמה, שגיאה 404). אל תיפלו בפח! האקרים ינסו להטעות אותך כדי לגרום לך מתוך מחשבה שהדף נעלם או תוקן כשהוא עדיין נפרץ. הם עושים זאת על ידי הסוואה תוכן. אפשר לחפש הסוואה על ידי הזנת כתובות ה-URL של האתר הכלי לבדיקת כתובות URL. הכלי 'אחזור כמו Google' מאפשר לך לראות את התוכן המוסתר הבסיסי.

אם נתקלת בבעיות כאלה, סביר להניח שהאתר הושפע מסוג כזה לפרוץ.

תיקון הפריצה

לפני שמתחילים, חשוב ליצור עותק אופליין של קבצים לפני שמסירים אותם, בקטע למקרה שתצטרכו לשחזר אותם מאוחר יותר. עדיף לגבות את כל האתר לפני להתחיל את תהליך הניקוי. אפשר לעשות זאת על ידי שמירת כל הקבצים בשרת שלכם למיקום מחוץ לשרת או שמחפשים את הגיבוי הטוב ביותר אפשרויות למערכת ניהול התוכן (CMS) הספציפית שלכם. אם משתמשים במערכת ניהול התוכן, מגבים את מסד הנתונים.

הסרת חשבונות חדשים שנוצרו מ-Search Console

אם בעלים חדש שאתם לא מזהים נוסף ל-Search Console לבטל את הגישה שלו בהקדם האפשרי. אפשר לבדוק אילו משתמשים מאומתות עבור האתר שלכם דף האימות של Search Console. לוחצים על 'פרטי אימות'. כדי לראות את כל המשתמשים המאומתים של האתר.

כדי להסיר בעלים מ-Search Console, יש לעיין בקטע 'הסרת בעלים'. בקטע של מרכז העזרה של ניהול משתמשים, בעלים והרשאות צריך להסיר את אסימון האימות המשויך, שבדרך כלל קובץ HTML ברמה הבסיסית (root) של האתר או קובץ שנוצר באופן דינמי קובץ .htaccess שמחקה קובץ HTML.

אם אתם לא מוצאים אסימון לאימות HTML באתר, צריך לבדוק אם יש צורך לשכתוב. כלל בקובץ .htaccess. כלל השכתוב ייראה כך:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

בדרך כלל ניתן לבדוק אם הסרת בהצלחה אסימון אימות שנוצר באופן דינמי, על ידי ניווט כמו wwww.example.com/google[random number and letters].html לדוגמה, אם האתר שלכם הוא www.brandonsbaseballcards.com, אפשר לנסות לנווט אל www.brandonsbaseballcards.com/google1234.html אם הדף הזה מחזיר HTTP 404, סביר להניח שאסימון האימות שנוצר באופן דינמי יתוקן.

כדי להסיר את אסימון האימות שנוצר באופן דינמי ממכשיר .htaccess מבצעים את השלבים הבאים:

בדיקת הקובץ `.htaccess` (שני שלבים)

מלבד שימוש בקובץ .htaccess כדי ליצור אימות שנוצר באופן דינמי אסימונים, האקרים משתמשים לעיתים קרובות בכללי .htaccess כדי להפנות משתמשים לכתובת אחרת או ליצור דפי ספאם בג'יבריש. אלא אם יש לך כללי .htaccess בהתאמה אישית, כדאי לשקול אנחנו מחליפים את .htaccess בעותק חדש לגמרי.

שלב 1

מאתרים את הקובץ .htaccess באתר. אם אתם לא בטוחים איפה למצוא את הקובץ ומשתמשים במערכת ניהול תוכן כמו WordPress, Joomla או Drupal, "מיקום קובץ .htaccess" במנוע חיפוש יחד עם השם של מערכת ניהול התוכן שלכם. בהתאם לאתר שלכם, ייתכן שתראו כמה קבצים מסוג .htaccess. צור רשימה של כל .htaccess מיקומי הקבצים.

הערה: השדה .htaccess הוא לעיתים קרובות 'קובץ מוסתר'. חשוב להפעיל את האפשרות להציג קבצים מוסתרים בזמן שמחפשים אותו.

שלב 2

צריך להחליף את כל .htaccess הקבצים בגרסה נקייה או בגרסת ברירת מחדל של .htaccess חדש. בדרך כלל אפשר למצוא גרסת ברירת מחדל של קובץ .htaccess באמצעות חיפוש ל'קובץ ברירת המחדל' .htaccess ואת השם של מערכת ניהול התוכן שלכם. עבור אתרים עם מספר .htaccess, צריך למצוא גרסה נקייה של כל אחד מהם ולהחליף אותם.

אם לא קיימת ברירת מחדל של .htaccess ומעולם לא הגדרת .htaccess קובץ באתר שלכם, כנראה שהקובץ .htaccess שנמצא באתר זדוני. כדאי לשמור עותק של .htaccess הקבצים במצב אופליין, למקרה הצורך למחוק את הקובץ .htaccess מהאתר.

הסרת כל הקבצים והסקריפטים זדוניים (4 שלבים)

הזיהוי של קבצים זדוניים יכול להיות מורכב ולגזול זמן. שימוש ב- בזמן בדיקת הקבצים. אם עדיין לא עשית זאת, זה זמן טוב לחזור אחורה את הקבצים באתר שלכם. חיפוש ב-Google של הביטוי 'גיבוי האתר' והשם של במערכת ניהול התוכן שלכם כדי למצוא הוראות לגיבוי האתר.

שלב 1

אם אתם משתמשים במערכת ניהול תוכן, התקינו מחדש את כל קובצי הליבה (ברירת המחדל) שמגיעים של מערכת ניהול התוכן המוגדרת כברירת מחדל, וגם כל מידע שהוספתם (כמו עיצובים, מודולים או יישומי פלאגין). כך אפשר לוודא שהקבצים האלה נקיים תוכן שנפרץ. תוכל לחפש ב-Google את הביטוי 'התקנה מחדש' ואת השם של מערכת ניהול התוכן שלכם למצוא הוראות התקנה מחדש. אם יש לכם יישומי פלאגין, מודולים, תוספים או עיצובים, אל תשכחו להתקין גם אותם מחדש.

שלב 2

האקרים משנים לעתים קרובות את ה-sitemap או יוסיפו קובצי Sitemap חדשים כדי לעזור לקבל כתובות URL נוספו לאינדקס מהר יותר. אם היה לכם בעבר קובץ Sitemap, יש לבדוק את הקובץ קישורים חשודים ולהסיר אותם מה-sitemap. אם יש של קובצי Sitemap שאתם לא זוכרים שהוספתם לאתר שלכם, בדקו אותם שוב להסיר אותן אם הן מכילות רק כתובות URL ספאמיות.

שלב 3

מחפשים קבצים אחרים זדוניים או שנפגעו. יכול להיות שכבר הסירו את כל הקבצים הזדוניים בשני השלבים הקודמים, אבל עדיף לעבוד לבצע את השלבים הבאים, למקרה שיש עוד קבצים באתר שלכם בסיכון.

אל תבהלו בכך שתחשבו שצריך לפתוח ולבחון את כל קובץ PHP. בתור התחלה, יוצרים רשימה של קובצי PHP חשודים לחקור את הנושא. יש כמה דרכים לקבוע אילו קובצי PHP הם חשודים:

אם כבר טענתם מחדש את קובצי ה-CMS שלכם, חפשו רק קבצים שאינם חלק של הקבצים או התיקיות שמוגדרים כברירת מחדל במערכת ניהול התוכן. הפעולה הזו אמורה לשלול קובצי PHP רבים ולהשאיר לכם כמה קבצים לצפות בהם.
ממיינים את הקבצים באתר לפי תאריך השינוי האחרון שלהם. חיפוש של שבוצעו בהם שינויים במהלך כמה חודשים מהמועד שבו גילה שהאתר שלכם נפרץ.
ממיינים את הקבצים באתר לפי גודל. מחפשים קבצים גדולים במיוחד.

הערה: בדרך כלל תוקפים מחדירים סקריפטים למערכת הקבצים הבאים: index.php, wp-load.php, 404.php ו-view.php.

שלב 4

אחרי שיש לכם רשימה של קובצי PHP חשודים, עליכם לבדוק אם יש בהם תוכן זדוני. אם אתם לא מכירים את PHP, יכול להיות שהתהליך הזה צורך יותר זמן, כדאי לרענן קצת מסמכי PHP. אם זו הפעם הראשונה שאתם מתכנתים, מומלץ לקבל עזרה. בינתיים, יש כמה דפוסים בסיסיים שאפשר לחפש כדי לזהות קבצים זדוניים.

אם אתם משתמשים במערכת ניהול תוכן ואתם לא נוהגים לערוך את קובצי ה-PHP שלה ישירות, להשוות את הקבצים בשרת שלכם לרשימה של קובצי ברירת המחדל הארוזים עם את מערכת ניהול התוכן ואת כל יישומי הפלאגין והעיצובים. חיפוש קבצים שלא שייכים וגם קבצים גדולים מגרסת ברירת המחדל שלהם.

כדאי לסרוק את הקבצים החשודים שזיהיתם ולחפש חסימות של קוד מעורפל. זה עשוי להיראות כמו שילוב של תמונות מעורפלות אותיות ומספרים, שלפניהם בדרך כלל שילוב של פונקציות PHP כמו base64_decode, rot13, eval, strrev או gzinflate. כאן דוגמה איך נראה בלוק הקוד. לפעמים כל הקוד מתמלא בשורת טקסט ארוכה אחת, כך שייראה קטן מכפי שהוא באמת.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

בודקים אם האתר נקי

לאחר סיום ההסרה של הקבצים שנפרצו, כדאי לבדוק אם העבודה הקשה שלך בוצעה השתלם. זוכרים את דפי הג'יבריש שזיהיתם קודם? שימוש באחזור ולהשתמש בהם בכלי של Google כדי לבדוק אם הם עדיין קיימים. אם התשובה היא 'לא נמצא' ב'אחזור כמו Google', סביר להניח שאתם טובה ותוכלו להמשיך לתקן את נקודות החולשה באתר שלכם.

איך אפשר למנוע פריצה נוספת?

תיקון נקודות החולשה באתר הוא שלב חיוני וחיוני לתיקון . מחקר שבוצע לאחרונה גילה ש-20% מהאתרים הפרוצים שוב נפרצו בתוך יום אחד. חשוב לדעת איך בדיוק האתר נפרץ. כדאי לקרוא את הדרכים המובילות לפריצה לאתרים על ידי מפיצי ספאם שלנו כדי להתחיל בחקירה. אבל אם אתם לא מצליחים להבין אם האתר שלכם נפרץ, פירטנו כאן רשימת פעולות שאפשר לבצע כדי לצמצם נקודות חולשה באתר שלכם.

סריקה קבועה של המחשב: משתמשים בכל סורק וירוסים פופולרי כדי לבדוק אותו. וירוסים או נקודות חולשה.
החלפת הסיסמאות באופן קבוע: שינוי הסיסמאות באופן קבוע ל- כל חשבונות האתרים שלכם, כמו ספק האירוח, FTP ו-CMS למנוע גישה בלתי מורשית לאתר. חשוב ליצור דפוס חזק, סיסמה ייחודית לכל חשבון.
שימוש אימות דו-שלבי (2FA): כדאי להפעיל 2FA בכל שירות שבו נדרשת כניסה לחשבון. 2FA מקשה על האקרים להיכנס לחשבון, גם אם הם גנבו בהצלחה הסיסמה שלך.
לעדכן באופן קבוע את מערכת ניהול התוכן, יישומי הפלאגין, התוספים והמודולים: אני מקווה שכבר ביצעת את השלב הזה. אתרים רבים נפרצו כי מפעילים תוכנה מיושנת. חלק ממערכות ניהול התוכן תומכות בעדכון אוטומטי.
כדאי להירשם לשירות אבטחה כדי לעקוב אחר האתר שלכם: יש הרבה שירותים נהדרים שיכולים לעזור לכם לנטר את תמורת תשלום נמוך. כדאי להירשם איתם כדי לשמור על בטיחות האתר.

מקורות מידע נוספים

אם עדיין יש בעיות בתיקון האתר, יש עוד כמה בעיות במקורות המידע שעשויים לעזור לכם.

הכלים האלה סורקים את האתר שלכם ויכול להיות שהם יצליחו למצוא תוכן בעייתי. מלבד VirusTotal, Google לא מפעילה אותם או תומכת בהם.

אלו רק כמה כלים שיכולים לעזור לך לסרוק את האתר כדי לאתר בעיות תוכן. חשוב לזכור שהסורקים האלה לא יכולים להבטיח שהם לזהות כל סוג של תוכן בעייתי.

ריכזנו כאן מקורות מידע נוספים מ-Google שיוכלו לעזור:

תיקון הפריצה למילת מפתח ביפנית

זיהוי סוג הפריצה הזה

תיקון הפריצה

הסרת חשבונות חדשים שנוצרו מ-Search Console

בדיקת הקובץ .htaccess (שני שלבים)

שלב 1

שלב 2

הסרת כל הקבצים והסקריפטים זדוניים (4 שלבים)

שלב 1

שלב 2

שלב 3

שלב 4

בודקים אם האתר נקי

איך אפשר למנוע פריצה נוספת?

מקורות מידע נוספים

בדיקת הקובץ `.htaccess` (שני שלבים)