The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

De hack met gecloakte zoekwoorden en links oplossen

Deze gids is speciaal ontwikkeld voor hacks met gecloakte zoekwoorden en links. De gids is ontworpen voor gebruikers van populaire contentmanagementsystemen (CMS), maar is ook nuttig als u geen CMS gebruikt.

Opmerking: Weet u niet zeker of uw site is gehackt? Raadpleeg dan eerst onze gids Hoe u kunt controleren of uw site is gehackt.

Inhoudsopgave

Identificatie van deze hack

De hack met gecloakte zoekwoorden en links maakt automatisch veel pagina's met onbegrijpelijke tekst, links en afbeeldingen. Deze pagina's bevatten soms eenvoudige template-onderdelen van de oorspronkelijke site, dus op het eerste gezicht kunnen de pagina's op normale delen van uw site lijken totdat u de content leest.

De gehackte pagina's zijn gemaakt om de positiefactoren van Google te manipuleren. Hackers zullen vaak proberen hiermee inkomsten te genereren door de links op de gehackte pagina's te verkopen aan verschillende derden. Vaak worden gebruikers door de gehackte pagina's doorgestuurd naar een niet-gerelateerde pagina, zoals een pornosite waar hackers geld kunnen verdienen.

Als u wilt nagaan of u dit probleem ondervindt, begint u met de tool Beveiligingsproblemen in Search Console om te zien of Google voorbeelden van deze gehackte pagina's op uw site heeft ontdekt. Soms kunt u ook pagina's als deze achterhalen door een Google-zoekvenster te openen en site:[your site] te typen. Hiermee ziet u de pagina's die Google voor uw site heeft geïndexeerd, inclusief de gehackte pagina's. Bekijk een aantal pagina's met zoekresultaten om te zien of u ongebruikelijke URL's tegenkomt. Als u geen gehackte content in Google Zoeken ziet, probeert u dezelfde zoektermen in een andere zoekmachine. Andere zoekmachines kunnen gehackte content weergeven die Google uit de index heeft verwijderd. U ziet hieronder een voorbeeld van hoe dat eruitziet.

Opmerking: De zoekresultaten bevatten in dit geval veel pagina's die niet door de eigenaar van de site zijn gemaakt. Als u goed kijkt naar de beschrijvingen van het tweede en derde zoekresultaat, ziet u voorbeelden van de onzintekst die via deze hack wordt gegenereerd.

Wanneer u een gehackte pagina bezoekt, ziet u mogelijk een bericht waarin wordt aangegeven dat de pagina niet bestaat (bijvoorbeeld een 404-fout). Trap hier niet in. Hackers zullen proberen u te laten denken dat uw site is hersteld door u te laten geloven dat de gehackte pagina's zijn verwijderd of hersteld. Dit doen ze door content te verbergen (cloaking). Controleer uw site op cloaking door uw site-URL in de tool Fetchen als Google in te voeren. Met de tool 'Fetchen als Google' kunt u onderliggende verborgen content zien. Hieronder volgt een voorbeeld van hoe deze gehackte pagina's eruit kunnen zien.

De hack oplossen

Maak voordat u begint een offline kopie van bestanden voordat u deze verwijdert, voor het geval u deze later moet herstellen. Het is nog beter om een back-up van uw volledige site te maken voordat u het opschoningsproces start. U kunt dit doen door alle bestanden op uw server op te slaan op een locatie buiten uw server of door te zoeken naar de beste back-upmogelijkheden voor uw specifieke CMS.

Uw .htaccess-bestand controleren (drie stappen)

De hack met gecloakte zoekwoorden en links gebruikt uw .htaccess-bestand om automatisch verborgen pagina's op uw site te maken. Neem op de officiële Apache-site meer informatie door over de basisbeginselen van .htaccess voor een beter inzicht in welk effect deze hack op uw site heeft. Dit is geen vereiste stap.

Stap 1

Zoek naar het .htaccess-bestand op uw site. Als u niet zeker weet waar u dit kunt vinden en als u een CMS zoals WordPress, Joomla of Drupal gebruikt, zoekt u via een zoekmachine naar '.htaccess file location' in combinatie met de naam van uw CMS. U heeft afhankelijk van uw site mogelijk meerdere .htaccess-bestanden. Maak een lijst van alle .htaccess-bestandslocaties.

Opmerking: Het .htaccess-bestand is vaak een verborgen bestand. Zorg ervoor dat u verborgen bestanden weergeeft wanneer u naar het bestand zoekt.

Stap 2

Open het .htaccess bestand om de content van het bestand te bekijken. In het bestand staat één coderegel die er ongeveer uitziet als het volgende:

  RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

De variabelen in deze regel kunnen verschillen. Zowel 'cj2fa' als 'tobeornottobe' kunnen een willekeurige mix van letters of woorden zijn. Het is belangrijk om de .php te identificeren waarnaar in deze regel wordt verwezen.

Noteer het .php-bestand dat in het .htaccess-bestand wordt genoemd. In het voorbeeld is het .php-bestand het bestand met de naam 'injected_file.php', maar in werkelijkheid zal de naam van het .php-bestand niet zo duidelijk zijn. Het is meestal een willekeurige reeks onschuldige woorden zoals 'horsekeys.php', 'potatolake.php' enzovoort. Er is een grote kans dat dit een schadelijk .php-bestand is dat later moet worden opgespoord en verwijderd.

Niet alle regels met RewriteRule en een .php-bestand in uw .htaccess zijn schadelijk. Als u niet zeker weet wat een coderegel precies doet, kunt u naar de Helpforums voor webmasters gaan om advies in te winnen van ervaren webmasters.

Stap 3

Vervang alle .htaccess-bestanden door een schone of standaardversie van het .htaccess-bestand. U kunt doorgaans een standaardversie van een .htaccess-bestand vinden door te zoeken naar 'default .htaccess file' en de naam van uw CMS. Voor sites met meerdere .htaccess-bestanden zoekt u naar een schone versie van elk bestand en vervangt u de oude bestanden.

Als er geen standaard .htaccess aanwezig is en u nog nooit een .htaccess-bestand heeft geconfigureerd op uw site, is het .htaccess-bestand dat u op uw site heeft gevonden waarschijnlijk een schadelijk bestand. Sla voor de zekerheid een offline kopie van het .htaccess-bestand op en verwijder het .htaccess-bestand van uw site.

Andere schadelijke bestanden identificeren en verwijderen (vijf stappen)

De identificatie van schadelijke bestanden kan lastig zijn en veel tijd in beslag nemen. Neem de tijd wanneer u uw bestanden controleert. Maak een back-up van de bestanden op uw site als u dit nog niet heeft gedaan. Voer een Google-zoekopdracht uit naar 'back up site' en de naam van uw CMS om instructies te ontvangen voor het maken van een back-up van uw site.

Stap 1

Als u een CMS gebruikt, moet u alle kernbestanden (standaardbestanden) van de standaarddistributie van uw CMS opnieuw installeren. Alles wat u heeft toegevoegd (zoals thema's, modules of plug-ins), moet ook opnieuw worden geïnstalleerd. Zo zorgt u ervoor dat deze bestanden vrij zijn van gehackte content. U kunt een Google-zoekopdracht uitvoeren voor 'reinstall' en uw CMS-naam voor instructies over het herinstallatieproces. Als u plug-ins, modules, extensies of thema's gebruikt, moet u deze ook opnieuw installeren.

Als u uw kernbestanden opnieuw installeert, gaan alle door u aangebrachte aanpassingen verloren. Zorg ervoor dat u een back-up maakt van uw database en alle bestanden voordat u opnieuw installeert.

Stap 2

Begin door te zoeken naar het .php-bestand dat u eerder heeft geïdentificeerd in het .htaccess-bestand. Afhankelijk van hoe u toegang heeft tot de bestanden op uw server, ziet u mogelijk een zoekfunctie voor bestanden. Zoek naar de naam van het schadelijke bestand. Maak zodra u dit heeft gevonden een back-up en sla deze kopie op een andere locatie op voor het geval u het bestand moet herstellen. Verwijder het bestand vervolgens van uw site.

Stap 3

Zoek naar eventueel overgebleven schadelijke of gehackte bestanden. U heeft mogelijk al alle schadelijke bestanden verwijderd in de vorige twee stappen, maar u kunt het beste ook deze stappen volgen om te controleren of meer bestanden op uw site zijn gehackt.

U hoeft niet elk PHP-bestand te openen en door te nemen. Begin door een lijst te maken van verdachte PHP-bestanden die u nader wilt onderzoeken. Hier volgen enkele manieren om te bepalen welke PHP-bestanden verdacht zijn:

  • Als u uw CMS-bestanden al opnieuw heeft geladen, hoeft u alleen te kijken naar bestanden die geen deel uitmaken van uw standaard CMS-bestanden of -mappen. Hiermee valt al een groot aantal PHP-bestanden af en houdt u een handjevol bestanden over om te controleren.
  • Sorteer de bestanden op uw site op de laatst gewijzigde datum. Zoek naar bestanden die zijn gewijzigd binnen een paar maanden na de tijd dat u heeft ontdekt dat uw site is gehackt.
  • Sorteer de bestanden op uw site op grootte. Zoek naar ongewoon grote bestanden.

Stap 4

Zodra u een lijst van verdachte PHP-bestanden heeft, controleert u of deze schadelijk zijn. Als u onbekend bent met PHP, kan dit proces tijdrovender zijn. U kunt als voorbereiding PHP-documentatie doornemen. Ook als coderen helemaal nieuw is voor u, zijn er echter wel een aantal basispatronen waarnaar u kunt zoeken om schadelijke bestanden te identificeren.

Neem eerst de verdachte bestanden die u al heeft geïdentificeerd door om grote blokken tekst met een combinatie van ogenschijnlijk willekeurige letters en cijfers te achterhalen. Het grote tekstblok wordt meestal voorafgegaan door een combinatie van PHP-functies zoals base64_decode, rot13, eval, strrev, gzinflate. Hier volgt een voorbeeld van hoe een codeblok eruit kan zien. Soms wordt al deze code in een lange tekstregel gezet, waardoor deze kleiner lijkt dan deze eigenlijk is:

<!--Hackers try to confuse webmasters by encoding malicious code into blocks of texts.
Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Soms wordt de code niet door elkaar gezet en lijkt de code op normaal script. Als u niet zeker weet of de code schadelijk is, kunt u naar de Helpforums voor webmasters gaan om advies in te winnen van ervaren webmasters.

Stap 5

Nu u weet welke bestanden verdacht zijn, maakt u een back-up of lokale kopie door de bestanden op uw computer op te slaan voor het geval deze niet schadelijk zijn. Vervolgens verwijdert u de verdachte bestanden.

Controleren of uw site schoon is

Zodra u klaar bent met het verwijderen van gehackte bestanden, moet u controleren of alles goed is gegaan. Kunt u zich de onzinpagina's nog herinneren die u eerder heeft geïdentificeerd? Gebruik opnieuw de tool 'Fetchen als Google' om te controleren of deze pagina's nog aanwezig zijn. Als deze niet worden gevonden in 'Fetchen als Google', is de kans heel groot dat er niets meer aan de hand is en dat u kunt doorgaan met het oplossen van de beveiligingsproblemen op uw site.

U kunt ook de stappen in de probleemoplosser voor gehackte sites volgen om te controleren of uw site nog gehackte content bevat.

Hoe voorkom ik dat ik opnieuw word gehackt?

Het oplossen van beveiligingsproblemen op uw site is een essentiële laatste stap om uw site helemaal te herstellen. Uit een recent onderzoek is gebleken dat 20% van de gehackte sites binnen één dag opnieuw wordt gehackt. Het is handig om precies te weten hoe uw site is gehackt. Lees de gids met de meest voorkomende manieren waarop websites worden gehackt door spammers om uw onderzoek te starten. Als u echter niet kunt achterhalen hoe uw site is gehackt, volgt hieronder een checklist met dingen die u kunt doen om het aantal beveiligingsproblemen op uw site te verminderen:

  • Update regelmatig uw CMS, plug-ins, extensies en modules: Hopelijk heeft u deze stap al uitgevoerd. Veel sites worden gehackt vanwege verouderde software die op een site wordt gebruikt. Sommige contentmanagementsystemen bieden ondersteuning voor automatische updates.
  • Scan uw computer regelmatig: Gebruik een populaire virusscanner om te controleren op virussen of beveiligingsproblemen.
  • Wijzig uw wachtwoorden regelmatig: Door de wachtwoorden voor al uw websiteaccounts (zoals accounts voor uw hostingprovider, FTP en CMS) regelmatig te wijzigen, kunt u voorkomen dat onbevoegden toegang krijgen tot uw site. Het is belangrijk om een sterk, uniek wachtwoord voor elk account te gebruiken.
  • Gebruik authenticatie in twee stappen: Overweeg 2FA in te schakelen voor elke service waarbij u moet inloggen. Met 2FA is het voor hackers moeilijker om in te loggen, zelfs als ze uw wachtwoord hebben buitgemaakt.
  • Overweeg u aan te melden voor een beveiligingsservice om uw site in de gaten te houden: Er zijn veel goede services beschikbaar die u tegen lage kosten kunnen helpen bij het controleren van uw site. U kunt zich voor deze services aanmelden om uw site veilig te houden.

Aanvullende bronnen

Als u nog steeds problemen ondervindt bij het herstellen van uw site, zijn er nog een aantal bronnen die hulp kunnen bieden.

Deze tools scannen uw site en kunnen problematische content opsporen. Google voert deze tools niet uit en biedt geen ondersteuning voor deze tools, behalve voor VirusTotal.

VirusTotal, Aw-snap.info, Sucuri Site Check, Quttera: Dit zijn een aantal tools die uw site kunnen controleren op problematische content. Deze scanners bieden geen garantie dat ze elk type problematische content kunnen opsporen.

Hier volgen enkele aanvullende bronnen van Google die u kunnen helpen:

Ontbreekt er iets wat volgens u nuttig is? Geef feedback om ons dit te laten weten.