แก้ไขการแฮ็กแบบใช้คีย์เวิร์ดภาษาญี่ปุ่น

คู่มือนี้มีไว้สำหรับแฮ็กประเภทหนึ่งที่สร้างข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติ ในเว็บไซต์ของคุณ ซึ่งเราเรียกว่าการแฮ็กคีย์เวิร์ดภาษาญี่ปุ่น คู่มือนี้ ออกแบบมาสำหรับผู้ใช้ระบบจัดการเนื้อหา (CMS) ยอดนิยม แต่คุณจะยังคงเห็นว่าคู่มือนี้มีประโยชน์แม้ว่าเว็บไซต์ของคุณจะไม่ได้ใช้ CMS ก็ตาม

ระบุการแฮ็กประเภทนี้

การแฮ็กด้วยคีย์เวิร์ดภาษาญี่ปุ่นมักสร้างหน้าเว็บใหม่ที่มีข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติในเว็บไซต์ของคุณเป็นชื่อไดเรกทอรีที่สร้างขึ้นมาแบบสุ่ม (เช่น http://example.com/ltjmnjp/341.html) หน้าเหล่านี้จะสร้างรายได้ด้วยการใช้ลิงก์แอฟฟิลิเอตไปยังร้านค้าที่จำหน่ายสินค้าแบรนด์เนมปลอม ซึ่งจะปรากฏใน Google Search ตัวอย่างลักษณะของหน้าเว็บเหล่านี้มีดังนี้

ตัวอย่างหน้าเว็บที่ถูกแฮ็กด้วยคีย์เวิร์ดภาษาญี่ปุ่น
หน้าข้อความที่สร้างขึ้นจากการแฮ็กด้วยคีย์เวิร์ดภาษาญี่ปุ่น

การแฮ็กประเภทนี้มักจะเกิดขึ้นเมื่อแฮ็กเกอร์เพิ่มตัวเองเป็นเจ้าของพร็อพเพอร์ตี้ใน Search Console เพื่อเพิ่มผลกำไรด้วยการดัดแปลงการตั้งค่าของเว็บไซต์ เช่น การกำหนดเป้าหมายตามภูมิศาสตร์หรือแผนผังเว็บไซต์ หากคุณได้รับการแจ้งเตือนว่ามีบุคคลที่คุณไม่รู้จักได้ยืนยันเว็บไซต์ของคุณใน Google Search Console แสดงว่าเว็บไซต์ของคุณอาจถูกแฮ็ก

เริ่มต้นด้วยการตรวจสอบเครื่องมือปัญหาด้านความปลอดภัยใน Search Console เพื่อดูว่า Google พบหน้าเว็บที่ถูกแฮ็กเหล่านี้ในเว็บไซต์ของคุณหรือไม่ บางครั้งคุณอาจพบหน้าเว็บเช่นนี้ได้โดยการเปิดหน้าต่าง Google Search แล้วพิมพ์ site:_your site url_ พร้อมด้วย URL ระดับรูทของเว็บไซต์ ซึ่งจะแสดงหน้าเว็บที่ Google จัดทำดัชนีสำหรับเว็บไซต์ของคุณ รวมถึงหน้าเว็บที่ถูกแฮ็กด้วย เลื่อนดูผลการค้นหาสัก 2-3 หน้าเพื่อดูว่าคุณเห็น URL ที่ผิดปกติหรือไม่ หากไม่เห็นเนื้อหาที่ถูกแฮ็กใน Google Search ให้ใช้คำค้นหาเดียวกันกับเครื่องมือค้นหาอื่น ตัวอย่างลักษณะการค้นหาดังกล่าวมีดังนี้

ตัวอย่างเว็บไซต์ที่ถูกแฮ็กใน Search
หน้าที่ถูกแฮ็กจะปรากฏในผลการค้นหาของ Google Search

โดยปกติแล้ว เมื่อคลิกลิงก์ไปยังหน้าที่ถูกแฮ็ก คุณจะถูก เปลี่ยนเส้นทางไปยังเว็บไซต์อื่น หรือเห็นหน้าเว็บที่มีเนื้อหาที่อ่านไม่รู้เรื่อง อย่างไรก็ตาม คุณอาจเห็นข้อความที่แนะนำว่าหน้าเว็บไม่มีอยู่ (เช่น ข้อผิดพลาด 404) อย่าหลงเชื่อ แฮ็กเกอร์จะพยายามหลอกให้คุณคิดว่าหน้าเว็บหายไปหรือได้รับการแก้ไขแล้วในขณะที่ยังถูกแฮ็กอยู่ โดยทำได้ด้วยการปกปิดเนื้อหา ตรวจสอบการปิดบังหน้าเว็บจริงโดยป้อน URL ของเว็บไซต์ในเครื่องมือตรวจสอบ URL เครื่องมือนี้ช่วยให้ คุณเห็นเนื้อหาที่ซ่อนอยู่

หากพบปัญหาเหล่านี้ แสดงว่าเว็บไซต์ของคุณน่าจะได้รับผลกระทบจากการแฮ็กประเภทนี้

แก้ไขการแฮ็ก

ก่อนที่จะเริ่ม ให้ทำสำเนาไฟล์แบบออฟไลน์ก่อนที่จะนำออก เผื่อกรณีที่ต้องกู้คืนในภายหลัง หรือจะสำรองข้อมูลทั้งเว็บไซต์ก่อนเริ่มกระบวนการล้างข้อมูลก็ได้ คุณทำได้โดยบันทึกไฟล์ทั้งหมดที่อยู่ในเซิร์ฟเวอร์ไปยังตำแหน่งอื่นนอกเซิร์ฟเวอร์ หรือค้นหาตัวเลือกการสำรองข้อมูลที่ดีที่สุดสำหรับระบบจัดการเนื้อหา (CMS) ที่คุณใช้ หากคุณใช้ CMS ให้สำรองข้อมูลฐานข้อมูลด้วย

นำบัญชีที่สร้างใหม่ออกจาก Search Console

หากมีการเพิ่มเจ้าของรายใหม่ที่คุณไม่รู้จักลงในบัญชี Search Console ให้เพิกถอนสิทธิ์เข้าถึงของเจ้าของรายนั้นโดยเร็วที่สุด คุณตรวจสอบได้ว่าผู้ใช้รายใด ได้รับการยืนยันสำหรับเว็บไซต์ของคุณใน หน้าการยืนยัน Search Console คลิก "รายละเอียดการยืนยัน" สำหรับเว็บไซต์เพื่อดูผู้ใช้ที่ยืนยันแล้วทั้งหมด

หากต้องการนำเจ้าของออกจาก Search Console โปรดดูส่วนนำเจ้าของออกในศูนย์ช่วยเหลือเกี่ยวกับการจัดการผู้ใช้ เจ้าของ และสิทธิ์ คุณจะต้องนำโทเค็นการยืนยันที่เชื่อมโยงออก ซึ่งโดยปกติแล้วจะเป็นไฟล์ HTML ในรูทของเว็บไซต์ หรือไฟล์ .htaccess ที่สร้างแบบไดนามิกซึ่งเลียนแบบไฟล์ HTML

หากไม่พบโทเค็นการยืนยัน HTML ในเว็บไซต์ ให้ตรวจสอบกฎการเขียนใหม่ในไฟล์ .htaccess กฎการเขียนใหม่จะมีลักษณะคล้ายกับตัวอย่างต่อไปนี้

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

หากต้องการนำโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกออกจาก.htaccess ไฟล์ ให้ทำตามขั้นตอนต่อไปนี้

ตรวจสอบ.htaccessไฟล์ (2 ขั้นตอน)

นอกเหนือจากการใช้ไฟล์ .htaccess เพื่อสร้างโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกแล้ว แฮ็กเกอร์มักใช้กฎ .htaccess เพื่อเปลี่ยนเส้นทางผู้ใช้หรือสร้างหน้าสแปมที่อ่านไม่รู้เรื่อง หากคุณไม่มี.htaccessที่กำหนดเอง ให้ลอง แทนที่.htaccessด้วยสำเนาใหม่ทั้งหมด

ขั้นตอนที่ 1

ค้นหาไฟล์ .htaccess ในเว็บไซต์ หากไม่แน่ใจว่าจะค้นหาได้ที่ใดและคุณใช้ CMS เช่น WordPress, Joomla หรือ Drupal ให้ค้นหา "ตำแหน่งไฟล์ .htaccess" ในเครื่องมือค้นหาพร้อมกับชื่อ CMS ของคุณ คุณอาจเห็นไฟล์ .htaccess หลายไฟล์ ทั้งนี้ขึ้นอยู่กับเว็บไซต์ของคุณ ทำรายการตำแหน่งไฟล์ทั้งหมดของ .htaccess

ขั้นตอนที่ 2

แทนที่ไฟล์ .htaccess ทั้งหมดด้วยไฟล์ .htaccess เวอร์ชันที่สะอาดหรือค่าเริ่มต้น โดยปกติคุณจะค้นหาไฟล์ .htaccess เวอร์ชันเริ่มต้นได้โดยค้นหา "ไฟล์ .htaccess เริ่มต้น" และชื่อ CMS ของคุณ สำหรับเว็บไซต์ที่มีไฟล์ .htaccess หลายไฟล์ ให้ค้นหาไฟล์แต่ละไฟล์ในเวอร์ชันที่สะอาดแล้วแทนที่

หากไม่มี .htaccess เริ่มต้นและคุณไม่เคยกำหนดค่าไฟล์ .htaccess ในเว็บไซต์ ไฟล์ .htaccess ที่คุณพบในเว็บไซต์อาจเป็นไฟล์ ที่เป็นอันตราย บันทึกสำเนาของ.htaccessไฟล์แบบออฟไลน์ไว้เผื่อกรณีฉุกเฉิน และลบ.htaccessไฟล์ออกจากเว็บไซต์

นำไฟล์และสคริปต์ที่เป็นอันตรายทั้งหมดออก (4 ขั้นตอน)

การระบุไฟล์ที่เป็นอันตรายอาจเป็นเรื่องยากและใช้เวลานาน ใช้เวลาสักครู่ในการตรวจสอบไฟล์ หากยังไม่ได้ดำเนินการ ตอนนี้เป็นเวลาที่เหมาะที่จะสำรองข้อมูลไฟล์ในเว็บไซต์ ค้นหาใน Google ว่า "สำรองข้อมูลเว็บไซต์" และชื่อ CMS ของคุณเพื่อดูวิธีการสำรองข้อมูลเว็บไซต์

ขั้นตอนที่ 1

หากคุณใช้ CMS ให้ติดตั้งไฟล์หลัก (ค่าเริ่มต้น) ทั้งหมดที่มาพร้อมกับการกระจายค่าเริ่มต้นของ CMS รวมถึงทุกอย่างที่คุณเพิ่ม (เช่น ธีม โมดูล หรือปลั๊กอิน) อีกครั้ง ซึ่งจะช่วยให้มั่นใจได้ว่าไฟล์เหล่านี้ไม่มี เนื้อหาที่ถูกแฮ็ก คุณสามารถค้นหาใน Google Search ด้วยคำว่า "ติดตั้งอีกครั้ง" และชื่อ CMS เพื่อดูวิธีการติดตั้งอีกครั้ง หากมีปลั๊กอิน โมดูล ส่วนขยาย หรือธีม ให้ติดตั้งอีกครั้งด้วย

ขั้นตอนที่ 2

แฮ็กเกอร์มักจะแก้ไข Sitemap หรือเพิ่ม Sitemap ใหม่เพื่อให้ระบบจัดทำดัชนี URL ของตนได้เร็วขึ้น หากก่อนหน้านี้คุณมีไฟล์ Sitemap ให้ตรวจสอบไฟล์เพื่อหาลิงก์ที่น่าสงสัยและนำออก หากมีไฟล์ Sitemap ที่คุณจำไม่ได้ว่าได้เพิ่มลงในเว็บไซต์ ให้ตรวจสอบไฟล์ดังกล่าว นำไฟล์ออกหากมีเฉพาะ URL ที่เป็นสแปม

ขั้นตอนที่ 3

มองหาไฟล์ที่เป็นอันตรายหรือถูกบุกรุกอื่นๆ คุณอาจได้ นำไฟล์ที่เป็นอันตรายทั้งหมดออกไปแล้วใน 2 ขั้นตอนก่อนหน้า แต่ควรทำตาม ขั้นตอนถัดไปเหล่านี้ในกรณีที่เว็บไซต์มีไฟล์อื่นๆ ที่ ถูกบุกรุก

อย่ากังวลว่าคุณจะต้องเปิดและดูไฟล์ PHP ทุกไฟล์ เริ่มต้นด้วยการสร้างรายการไฟล์ PHP ที่น่าสงสัยซึ่งคุณต้องการตรวจสอบ วิธีระบุไฟล์ PHP ที่น่าสงสัยมีดังนี้

  • หากโหลดไฟล์ CMS ซ้ำแล้ว ให้ดูเฉพาะไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของไฟล์หรือโฟลเดอร์ CMS เริ่มต้น ซึ่งจะช่วยคัดกรองไฟล์ PHP จำนวนมาก และเหลือไฟล์เพียงไม่กี่ไฟล์ให้คุณตรวจสอบ
  • จัดเรียงไฟล์ในไซต์ตามวันที่แก้ไขครั้งล่าสุด มองหาไฟล์ที่แก้ไขภายใน 2-3 เดือนหลังจากที่คุณทราบว่าเว็บไซต์ถูกแฮ็ก
  • จัดเรียงไฟล์ในไซต์ตามขนาด มองหาไฟล์ที่มีขนาดใหญ่ผิดปกติ

ขั้นตอนที่ 4

เมื่อมีรายการไฟล์ PHP ที่น่าสงสัยแล้ว ให้ตรวจสอบหาเนื้อหาที่เป็นอันตราย หากคุณไม่คุ้นเคยกับ PHP กระบวนการนี้อาจใช้เวลานานกว่า ดังนั้นโปรดอ่านเอกสารประกอบ PHP หากคุณเพิ่งเริ่มเขียนโค้ด เราขอแนะนำให้ปรึกษานักพัฒนาซอฟต์แวร์ที่มีประสบการณ์ ในระหว่างนี้ คุณสามารถมองหารูปแบบพื้นฐานบางอย่างเพื่อระบุไฟล์ที่เป็นอันตรายได้

หากคุณใช้ CMS และไม่ได้แก้ไขไฟล์ PHP โดยตรง ให้เปรียบเทียบไฟล์ในเซิร์ฟเวอร์กับรายการไฟล์เริ่มต้นที่มาพร้อมกับ CMS รวมถึงปลั๊กอินและธีมต่างๆ มองหาไฟล์ที่ไม่ใช่ของตัวเอง รวมถึง ไฟล์ที่มีขนาดใหญ่กว่าเวอร์ชันเริ่มต้น

สแกนไฟล์ที่น่าสงสัยซึ่งคุณระบุไว้แล้วเพื่อค้นหาบล็อก ของโค้ดที่ทำให้สับสน ซึ่งอาจดูเหมือนตัวอักษรและตัวเลขที่ดูเหมือนจะสลับกัน โดยมักจะนำหน้าด้วยชุดฟังก์ชัน PHP เช่น base64_decode, rot13, eval, strrev หรือ gzinflate ตัวอย่างลักษณะของบล็อกโค้ดมีดังนี้ บางครั้งโค้ดทั้งหมดนี้จะถูกยัด ลงในข้อความบรรทัดยาวบรรทัดเดียว ทำให้ดูสั้นกว่าที่เป็นจริง

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

ตรวจสอบว่าเว็บไซต์ของคุณสะอาดหรือไม่

เมื่อลบไฟล์ที่ถูกแฮ็กเสร็จแล้ว ให้ตรวจสอบว่าความพยายามของคุณ ได้ผลหรือไม่ อย่าลืมหน้าเว็บที่อ่านไม่ออกซึ่งคุณระบุไว้ก่อนหน้านี้ ให้ใช้เครื่องมือดึงข้อมูล เหมือนเป็น Google ในหน้าเหล่านั้นอีกครั้งเพื่อดูว่าหน้าเว็บยังคงอยู่หรือไม่

หากเครื่องมือ "ดึงข้อมูลในฐานะ Google" ตอบกลับว่า "ไม่พบ" แสดงว่าคุณอยู่ในสถานะที่ดีและสามารถไปยังขั้นตอนการแก้ไขช่องโหว่ในเว็บไซต์ได้

ฉันจะป้องกันการถูกแฮ็กอีกได้อย่างไร

การแก้ไขช่องโหว่ในเว็บไซต์เป็นขั้นตอนสุดท้ายที่จำเป็นในการแก้ไขเว็บไซต์ การศึกษาล่าสุดพบว่าเว็บไซต์ที่ถูกแฮ็ก 20% ถูกแฮ็กอีกครั้งภายใน 1 วัน การรู้อย่างแน่ชัดว่าไซต์ถูกแฮ็กได้อย่างไรจึงมีประโยชน์อย่างยิ่ง อ่านคำแนะนำเกี่ยวกับวิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุด เพื่อเริ่มการตรวจสอบ หากคุณไม่ทราบว่าเว็บไซต์ถูกแฮ็กได้อย่างไร ให้ทำตามรายการตรวจสอบนี้เพื่อลดช่องโหว่ในเว็บไซต์

  • สแกนคอมพิวเตอร์เป็นประจำ: ใช้ซอฟต์แวร์ป้องกันไวรัสยอดนิยมเพื่อตรวจหาไวรัสหรือช่องโหว่
  • เปลี่ยนรหัสผ่านเป็นประจำ: การเปลี่ยนรหัสผ่านของบัญชีเว็บไซต์ทั้งหมดเป็นประจำ เช่น ผู้ให้บริการโฮสติ้ง, FTP และ CMS จะช่วยป้องกันไม่ให้มีการเข้าถึงเว็บไซต์ของคุณโดยไม่ได้รับอนุญาต คุณควรสร้างรหัสผ่านที่รัดกุมและไม่ซ้ำกันสำหรับแต่ละบัญชี
  • ใช้การตรวจสอบสิทธิ์แบบ 2 ขั้นตอน (2FA) พิจารณาเปิดใช้ 2FA ในบริการที่กำหนดให้คุณลงชื่อเข้าใช้ ซึ่งจะทำให้แฮ็กเกอร์ลงชื่อเข้าใช้ได้ยากขึ้นแม้ว่าจะขโมยรหัสผ่านของคุณได้สำเร็จก็ตาม
  • อัปเดต CMS, ปลั๊กอิน, ส่วนขยาย และโมดูลเป็นประจำ หวังว่าคุณจะทำตามขั้นตอนนี้แล้ว เว็บไซต์จำนวนมากถูกแฮ็กเนื่องจาก ใช้ซอฟต์แวร์ที่ล้าสมัย ทั้งนี้ CMS บางระบบรองรับการอัปเดตอัตโนมัติด้วย
  • ลองพิจารณาการสมัครใช้บริการด้านความปลอดภัยเพื่อตรวจสอบเว็บไซต์ มีบริการมากมายที่ช่วยคุณตรวจสอบเว็บไซต์ได้โดยมีค่าธรรมเนียมเล็กน้อย ลองลงทะเบียนกับผู้ให้บริการดังกล่าวเพื่อให้ไซต์ปลอดภัย

แหล่งข้อมูลเพิ่มเติม

หากยังคงประสบปัญหาในการแก้ไขเว็บไซต์ โปรดดูแหล่งข้อมูลเพิ่มเติมต่อไปนี้ซึ่งอาจช่วยคุณได้

เครื่องมือเหล่านี้จะสแกนไซต์และอาจพบเนื้อหาที่มีปัญหา แต่นอกเหนือจาก VirusTotal แล้ว Google ไม่ใช้หรือรองรับเครื่องมืออื่นใดอีก

เครื่องมือเหล่านี้เป็นเพียงเครื่องมือบางส่วนที่อาจสแกนหาเนื้อหาที่มีปัญหาในเว็บไซต์ของคุณได้ โปรดทราบว่าเครื่องมือสแกนเหล่านี้ไม่สามารถรับประกันได้ว่าจะระบุเนื้อหาที่มีปัญหาทุกประเภท

ทรัพยากรเพิ่มเติมจาก Google ที่ช่วยคุณได้มีดังนี้