修复乱码黑客行为

本指南专门针对一种会向您的网站添加包含大量关键字的乱序字符页面的黑客行为(我们将其称为乱序字符黑客行为)而设计。本指南面向使用热门内容管理系统 (CMS) 的用户,但即使您不使用 CMS,也会发现本指南很有用。

识别此类黑客攻击

乱码黑客行为会在您的网站上使用由关键字堆砌而成的无意义句子自动创建很多网页。这些网页并非由您创建,但其网址可能具有吸引用户点击的吸引力。黑客这样做的目的是,使被黑网页显示在 Google 搜索结果中。然后,如果用户尝试访问这些网页,就会被重定向到不相关的网页。当用户访问这些不相关的网页时,黑客就会赚取收入。以下是您可能会在受乱码入侵攻击的网站上看到的文件类型示例:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

有时,它们会显示在由随机字符组成的文件夹中,并使用不同的语言:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

首先,请查看 Search Console 中的安全问题工具,看看 Google 是否在您的网站上发现了任何被黑的网页。有时,您还可以打开 Google 搜索窗口,然后输入 site:_your site url_ 和您网站的根级网址,以便找到此类网页。这会显示 Google 为您的网站编入索引的网页,包括遭到入侵的网页。翻阅几页搜索结果,看看是否发现了任何不寻常的网址。如果您在 Google 搜索中没有看到任何被入侵的内容,请使用其他搜索引擎并输入相同的搜索字词。示例如下:

搜索结果中显示了此黑客攻击中涉及的网页。
被入侵的网页显示在 Google 搜索结果中。

通常,当您点击指向已被入侵网页的链接时,会被重定向到其他网站,或者看到充斥着乱码内容的网页。不过,您可能还会看到一条消息,提示网页不存在(例如 404 错误)。请勿上当!黑客会尝试欺骗您,让您以为网页已被移除或已修复,但实际上该网页仍处于被入侵状态。他们会通过伪装内容来实现这一点。在网址检查工具中输入您网站的网址,检查是否存在欺骗行为。借助“Google 抓取方式”工具,您可以查看底层隐藏内容。

如果您发现这些问题,则表明您的网站很可能已受到此类黑客入侵的影响。

修复黑客攻击

开始之前,请先为要移除的所有文件创建离线副本,以备日后需要恢复这些文件时使用。更好的是,在开始清理流程之前备份整个网站。为此,您可以将服务器上的所有文件保存到服务器之外的位置,也可以为您的特定内容管理系统 (CMS) 搜索最佳备份选项。如果您使用的是 CMS,请同时备份数据库。

检查 .htaccess 文件(2 步)

乱码攻击会使用 .htaccess 文件将访问者从您的网站重定向到其他网站。

第 1 步

在您的网站上找到 .htaccess 文件。如果您不确定在哪里可以找到该文件,并且您使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中搜索“.htaccess 文件位置”以及 CMS 的名称。根据您的网站,您可能会看到多个 .htaccess 文件。列出所有 .htaccess 文件位置。

第 2 步

将所有 .htaccess 文件替换为干净或默认版本的 .htaccess 文件。通常,您可以通过搜索“默认 .htaccess 文件”和 CMS 的名称来找到 .htaccess 文件的默认版本。对于包含多个 .htaccess 文件的网站,请找到每个文件的干净版本并进行替换。

如果不存在默认 .htaccess,并且您从未在网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件可能是恶意的。为以防万一,请离线保存 .htaccess 文件的副本,并从您的网站中删除 .htaccess 文件。

查找并移除其他恶意文件(5 步)

识别恶意文件可能很棘手且耗时。请仔细检查您的文件。如果您尚未备份网站上的文件,现在是时候备份了。在 Google 上搜索“备份网站”和您的 CMS 名称,找到有关如何备份网站的说明。

第 1 步

如果您使用 CMS,请重新安装 CMS 默认发行版中包含的所有核心(默认)文件,以及您可能添加的所有内容(例如主题、模块、插件)。这有助于确保这些文件不含被入侵的内容。您可以在 Google 上搜索“重新安装”和您的 CMS 名称,找到重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必一并重新安装。

第 2 步

现在,您需要查找所有剩余的恶意文件或已被入侵的文件。这是整个流程中最难、最耗时的部分,但完成后,您就差不多完成了!

此黑客攻击通常会留下两种类型的文件:.txt 文件和 .php 文件。.txt 文件是模板文件,.php 文件用于确定要将哪种无意义的内容加载到您的网站上。

首先,查找 .txt 文件。根据您连接到网站的方式,您应该会看到某种类型的文件搜索功能。搜索“.txt”即可调出所有扩展名为 .txt 的文件。其中大多数都是合法文件,例如许可协议或自述文件。您要查找一组 .txt 文件,其中包含用于创建垃圾模板的 HTML 代码。下面列出了您可能会在这些恶意 .txt 文件中找到的不同代码段。

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

黑客会使用关键字替换手段来创建垃圾内容网页。您很可能会在被入侵的文件中看到一些可替换的通用字词。

此外,其中大多数文件都包含某种类型的代码,用于将垃圾链接和垃圾文字放置在可见页面之外。

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

移除这些 .txt 文件。如果它们都在同一个文件夹中,请移除整个文件夹。

第 3 步

查找恶意 PHP 文件的难度会略大一些。您的网站上可能存在一个或多个恶意 PHP 文件。它们可以全部包含在同一子目录中,也可以分散在您的网站中。

不要因为认为自己需要打开并仔细查看每个 PHP 文件而感到不知所措。首先,创建要调查的可疑 PHP 文件列表。您可以通过以下几种方法确定哪些 PHP 文件可疑:

  • 由于您已重新加载 CMS 文件,因此请仅查看不属于默认 CMS 文件或文件夹的文件。这应该会排除大量 PHP 文件,只留下少数几个文件供您查看。
  • 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站遭到入侵后的几个月内被修改的文件。
  • 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。

第 4 步

列出可疑 PHP 文件后,请检查这些文件是否具有恶意。 如果您不熟悉 PHP,此过程可能需要更多时间,因此不妨查看一些 PHP 文档。如果您是编码纯新手,建议您寻求帮助。与此同时,您可以通过查找一些基本模式来识别恶意文件。

如果您使用的是 CMS,并且不习惯直接修改这些文件,请将服务器上的文件与 CMS 以及所有插件和主题随附的默认文件列表进行比较。查找不属于该文件夹的文件,以及大于其默认版本的文件。

首先,扫描您已识别出的可疑文件,查找包含看似杂乱无序的字母和数字组合的大段文本。大段文本通常前面会带有 PHP 函数组合,例如 base64_decoderot13evalstrrevgzinflate。以下示例展示了该代码块可能的样子。有时,所有这些代码都会塞入一行长文本中,看起来比实际要小。

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

有时,代码并不混乱,看起来就像普通脚本一样。如果您不确定代码是否有问题,请访问我们的 Google 搜索中心帮助社区,那里有一群经验丰富的网站站长可以帮助您检查文件。

第 5 步

现在,您已经知道哪些文件可疑了。为防止其中某个文件并非恶意文件,请将这些文件保存到计算机上以创建备份或本地副本,然后从您的网站中删除可疑文件。

检查您的网站是否干净

清除被入侵的文件后,请检查您的努力是否得到了回报。还记得您之前发现的那些乱码页面吗?请再次使用“Google 抓取方式”工具检查这些网页,看看它们是否仍然存在。如果 Fetch as Google 的回答是“未找到”,则表示您的网站可能没有太大问题,您可以继续修复网站上的漏洞。

如何防止再次遭到入侵?

修复网站上的漏洞是修复网站的最后一步,至关重要。一项近期的研究发现,20% 的被黑网站会在一天内再次遭到入侵。了解网站遭到入侵的具体方式非常有用。请参阅我们的垃圾内容发布者最常用的网站入侵方法指南,开始调查。不过,如果您无法确定自己的网站是如何被黑客入侵的,请参考以下核对清单,采取相应措施来减少网站的漏洞:

  • 定期扫描计算机:使用任何流行的杀毒软件检查是否存在病毒或漏洞。
  • 定期更改密码:定期更改您所有网站账号(例如托管服务提供商、FTP 和 CMS)的密码,可以防止未经授权的访问。请务必为每个账号设置安全系数高的专用密码。
  • 使用双重身份验证 (2FA):不妨考虑为需要您登录的任何服务启用 2FA。借助两步验证,即使黑客成功盗取了您的密码,也更难登录。
  • 定期更新 CMS、插件、扩展程序和模块:希望您已完成此步骤。许多网站之所以遭到入侵,是因为它们运行的是过时的软件。某些内容管理系统支持自动更新功能。
  • 考虑订阅安全服务来监控您的网站:市场上有很多优质服务,只需支付少量费用即可帮助您监控网站。建议您向这些组织注册,以确保您的网站安全无虞。

其他资源

如果您仍在尝试解决网站问题,以下几个资源可能对您有所帮助。

这些工具会扫描您的网站,或许能够找到存在问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。

以上只是一些可能能够扫描您的网站以查找有问题的内容的工具。请注意,这些扫描器无法保证能识别出所有类型的问题内容。

下面是 Google 提供的可为您提供帮助的其他资源: