Panduan ini ditujukan untuk jenis peretasan yang membuat teks bahasa Jepang yang dibuat secara otomatis di situs Anda, yang kami sebut sebagai peretasan kata kunci bahasa Jepang. Panduan ini dirancang untuk pengguna sistem pengelolaan konten (CMS) populer, tetapi Anda tetap akan merasa panduan ini berguna meskipun situs Anda tidak menggunakan CMS.
Mengidentifikasi jenis peretasan ini
Peretasan kata kunci bahasa Jepang biasanya membuat halaman baru dengan teks bahasa Jepang yang dibuat secara otomatis di situs Anda pada nama direktori yang dibuat secara acak (misalnya, http://example.com/ltjmnjp/341.html). Halaman ini dimonetisasi menggunakan link afiliasi ke toko yang menjual merchandise merek palsu, lalu ditampilkan di Google Penelusuran. Berikut contoh tampilan salah satu halaman tersebut:
Dengan jenis peretasan ini, peretas biasanya akan menambahkan dirinya sebagai pemilik properti di Search Console, untuk meningkatkan keuntungan dengan memanipulasi setelan situs Anda seperti penargetan geografis atau peta situs. Jika Anda menerima notifikasi bahwa seseorang yang tidak Anda kenal telah memverifikasi situs Anda di Google Search Console, ada kemungkinan besar situs Anda telah diretas.
Mulailah dengan memeriksa alat
Masalah Keamanan
di Search Console untuk melihat apakah Google telah menemukan halaman yang diretas di situs Anda. Terkadang Anda juga dapat menemukan halaman seperti ini dengan membuka jendela Google Penelusuran dan mengetik site:_your site url_, dengan URL tingkat root situs Anda. Tindakan ini akan menampilkan halaman yang telah diindeks Google untuk situs Anda, termasuk halaman yang diretas. Buka beberapa halaman hasil penelusuran untuk melihat apakah Anda menemukan URL yang tidak biasa. Jika Anda tidak melihat konten yang diretas di Google Penelusuran, gunakan istilah penelusuran yang sama dengan mesin telusur lain. Berikut
contoh tampilannya:
Biasanya, saat Anda mengklik link ke halaman yang diretas, Anda akan dialihkan ke situs lain, atau melihat halaman yang penuh dengan konten tidak jelas. Namun, Anda mungkin juga melihat pesan yang menunjukkan bahwa halaman tidak ada (misalnya, error 404). Jangan tertipu! Peretas akan mencoba menipu Anda agar mengira halaman tersebut sudah tidak ada atau sudah diperbaiki padahal masih diretas. Mereka melakukannya dengan menyembunyikan konten. Periksa cloaking dengan memasukkan URL situs Anda di Alat Inspeksi URL. Alat ini memungkinkan Anda melihat konten tersembunyi yang mendasarinya.
Jika Anda melihat masalah ini, situs Anda kemungkinan besar telah terpengaruh oleh peretasan jenis ini.
Memperbaiki peretasan
Sebelum memulai, buat salinan offline dari semua file sebelum Anda menghapusnya, jika Anda perlu memulihkannya nanti. Lebih baik lagi, cadangkan seluruh situs Anda sebelum Anda memulai proses pembersihan. Anda dapat melakukannya dengan menyimpan semua file yang ada di server Anda ke lokasi di luar server Anda atau mencari opsi pencadangan terbaik untuk Sistem Pengelolaan Konten (CMS) tertentu. Jika Anda menggunakan CMS, cadangkan juga database.
Menghapus akun yang baru dibuat dari Search Console
Jika pemilik baru yang tidak Anda kenali telah ditambahkan ke akun Search Console Anda, segera batalkan aksesnya. Anda dapat memeriksa pengguna yang terverifikasi untuk situs Anda di halaman verifikasi Search Console. Klik "Detail Verifikasi" untuk situs guna melihat semua pengguna terverifikasi.
Untuk menghapus pemilik dari Search Console, lihat bagian Menghapus Pemilik di Pusat Bantuan Mengelola pengguna, pemilik, dan izin. Anda harus menghapus token verifikasi terkait yang biasanya berupa file HTML di root situs Anda atau file .htaccess yang dibuat secara dinamis yang meniru file HTML.
Jika Anda tidak dapat menemukan token verifikasi HTML di situs Anda, periksa aturan penulisan ulang di file .htaccess Anda. Aturan penulisan ulang akan terlihat seperti ini:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Untuk menghapus token verifikasi yang dibuat secara dinamis dari file .htaccess Anda, ikuti langkah-langkah berikut:
Periksa file .htaccess Anda (2 langkah)
Selain menggunakan file .htaccess untuk membuat token verifikasi yang dihasilkan secara dinamis, peretas sering menggunakan aturan .htaccess untuk mengalihkan pengguna atau membuat halaman spam yang tidak jelas. Kecuali jika Anda memiliki aturan .htaccess kustom, pertimbangkan untuk mengganti .htaccess Anda dengan salinan yang benar-benar baru.
Langkah 1
Temukan file .htaccess di situs Anda. Jika Anda tidak yakin di mana menemukannya
dan Anda menggunakan CMS seperti WordPress, Joomla, atau Drupal, telusuri
"lokasi file .htaccess" di mesin telusur bersama dengan nama CMS Anda.
Bergantung pada situs Anda, Anda mungkin melihat beberapa file .htaccess.
Buat daftar semua lokasi file .htaccess.
Langkah 2
Ganti semua file .htaccess dengan file .htaccess versi bersih atau default. Anda biasanya dapat menemukan versi default file .htaccess dengan menelusuri "file .htaccess default" dan nama CMS Anda. Untuk situs dengan beberapa file .htaccess, temukan versi bersih dari setiap file dan ganti file tersebut.
Jika tidak ada .htaccess default dan Anda belum pernah mengonfigurasi file .htaccess di situs Anda, file .htaccess yang Anda temukan di situs Anda mungkin berbahaya. Simpan salinan .htaccess file secara offline untuk berjaga-jaga dan
hapus .htaccess file dari situs Anda.
Menghapus Semua File dan Skrip Berbahaya (4 langkah)
Mengidentifikasi file berbahaya bisa jadi rumit dan memakan waktu. Luangkan waktu saat memeriksa file Anda. Jika belum, sekarang adalah saat yang tepat untuk mencadangkan file di situs Anda. Lakukan Google Penelusuran untuk "mencadangkan situs" dan nama CMS Anda untuk menemukan petunjuk tentang cara mencadangkan situs Anda.
Langkah 1
Jika Anda menggunakan CMS, instal ulang semua file inti (default) yang ada dalam distribusi default CMS Anda, serta semua yang telah Anda tambahkan (seperti tema, modul, atau plugin). Tindakan ini membantu memastikan bahwa file tersebut bebas dari konten yang diretas. Anda dapat melakukan Google Penelusuran untuk "menginstal ulang" dan nama CMS Anda untuk menemukan petunjuk penginstalan ulang. Jika Anda memiliki plugin, modul, ekstensi, atau tema, pastikan untuk menginstalnya ulang juga.
Langkah 2
Peretas sering kali mengubah peta situs Anda atau menambahkan peta situs baru agar URL mereka diindeks lebih cepat. Jika sebelumnya Anda memiliki file peta situs, periksa file tersebut untuk menemukan link yang mencurigakan dan hapus link tersebut. Jika ada file peta situs yang tidak Anda ingat pernah ditambahkan ke situs, tinjau file tersebut. Hapus file jika hanya berisi URL spam.
Langkah 3
Cari file berbahaya atau yang disusupi lainnya. Anda mungkin telah menghapus semua file berbahaya dalam dua langkah sebelumnya, tetapi sebaiknya ikuti beberapa langkah berikutnya jika ada lebih banyak file di situs Anda yang telah disusupi.
Jangan merasa kewalahan dengan berpikir bahwa Anda perlu membuka dan memeriksa setiap file PHP. Mulailah dengan membuat daftar file PHP mencurigakan yang ingin Anda selidiki. Berikut beberapa cara untuk menentukan file PHP mana yang mencurigakan:
- Jika Anda telah memuat ulang file CMS, lihat hanya file yang bukan bagian dari file atau folder CMS default Anda. Hal ini akan mengecualikan banyak file PHP dan menyisakan beberapa file untuk Anda periksa.
- Urutkan file di situs Anda berdasarkan tanggal perubahan terakhir. Cari file yang dimodifikasi dalam beberapa bulan setelah Anda pertama kali mengetahui bahwa situs Anda diretas.
- Urutkan file di situs Anda berdasarkan ukurannya. Cari file yang terlampau besar.
Langkah 4
Setelah Anda memiliki daftar file PHP yang mencurigakan, periksa file tersebut untuk menemukan konten berbahaya. Jika Anda belum terbiasa dengan PHP, proses ini mungkin memerlukan waktu lebih lama, jadi sebaiknya pelajari beberapa dokumentasi PHP. Jika Anda benar-benar baru mengenal coding, sebaiknya bicaralah dengan developer yang berpengalaman. Sementara itu, ada beberapa pola dasar yang dapat Anda cari untuk mengidentifikasi file berbahaya.
Jika Anda menggunakan CMS, dan tidak terbiasa mengedit file PHP-nya secara langsung, bandingkan file di server Anda dengan daftar file default yang disertakan dengan CMS dan plugin serta tema apa pun. Cari file yang tidak termasuk dalam koleksi, serta file yang lebih besar daripada versi defaultnya.
Pindai file mencurigakan yang telah Anda identifikasi untuk mencari blok kode yang di-obfuscate. Ini mungkin terlihat seperti kombinasi huruf dan angka yang tampaknya tidak beraturan, biasanya diawali dengan kombinasi fungsi PHP seperti base64_decode, rot13, eval, strrev, atau gzinflate. Berikut contoh tampilan blok kode. Terkadang semua kode ini akan dimasukkan
ke dalam satu baris teks yang panjang, sehingga terlihat lebih kecil dari yang sebenarnya.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Memeriksa apakah situs Anda bersih
Setelah Anda selesai menghapus file yang diretas, periksa apakah upaya Anda berhasil. Ingat halaman tidak jelas yang Anda identifikasi sebelumnya? Gunakan alat Ambil sebagai Google di halaman tersebut lagi untuk melihat apakah halaman tersebut masih ada.
Jika responsnya "Tidak Ditemukan" di Ambil sebagai Google, kemungkinan besar Anda sudah cukup baik dan dapat melanjutkan ke perbaikan kerentanan di situs Anda.
Bagaimana supaya saya tidak diretas lagi?
Memperbaiki kerentanan di situs Anda adalah langkah terakhir yang penting untuk memperbaiki situs Anda. Sebuah studi baru-baru ini menemukan bahwa 20% situs yang diretas diretas lagi dalam waktu satu hari. Mengetahui secara persis bagaimana situs Anda diretas akan sangat membantu. Baca panduan kami tentang metode yang sering dilakukan spammer untuk meretas situs guna memulai penyelidikan Anda. Jika Anda tidak dapat mengetahui bagaimana situs Anda diretas, ikuti checklist ini untuk mengurangi kerentanan di situs Anda.
- Memindai komputer secara rutin: Gunakan software antivirus populer untuk memeriksa virus atau kerentanan.
- Ubah sandi Anda secara rutin: Mengubah sandi semua akun situs Anda secara rutin, seperti penyedia hosting, FTP, dan CMS, dapat mencegah akses tidak sah ke situs Anda. Penting untuk membuat sandi yang kuat dan unik untuk setiap akun.
- Gunakan Autentikasi 2 Langkah (2FA): Sebaiknya aktifkan 2FA di layanan yang mengharuskan Anda login. Hal ini akan mempersulit peretas untuk login meskipun mereka berhasil mencuri sandi Anda.
- Update CMS, plugin, ekstensi, dan modul Anda secara rutin: Semoga Anda telah melakukan langkah ini. Banyak situs diretas karena menjalankan software yang sudah usang. Beberapa CMS mendukung update otomatis.
- Pertimbangkan untuk berlangganan layanan keamanan untuk memantau situs Anda: Banyak layanan tersedia yang dapat membantu Anda memantau situs dengan biaya kecil. Pertimbangkan untuk mendaftar agar situs Anda tetap aman.
Referensi lainnya
Jika Anda masih mengalami masalah saat memperbaiki situs, ada beberapa referensi lain yang dapat membantu Anda.
Program berikut ini memindai situs Anda dan mungkin dapat menemukan konten yang bermasalah. Selain VirusTotal, Google tidak menjalankan atau mendukung program lainnya.
Ini hanyalah beberapa alat yang dapat memindai situs Anda untuk menemukan konten yang bermasalah. Perlu diingat bahwa pemindai ini tidak dapat menjamin bahwa pemindai akan mengidentifikasi setiap jenis konten bermasalah.
Berikut adalah resource tambahan dari Google yang dapat membantu Anda: