Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

De onzin-hack oplossen

Deze gids is speciaal ontwikkeld voor een type hack waarmee pagina's vol onzinzoekwoorden aan uw site worden toegevoegd. Dit noemen we de onzin-hack ('gibberish hack'). De gids is ontworpen voor gebruikers van populaire contentmanagementsystemen (CMS), maar is ook nuttig als u geen CMS gebruikt.

Opmerking: Weet u niet zeker of uw site is gehackt? Raadpleeg dan eerst onze gids Hoe u kunt controleren of uw site is gehackt.

Inhoudsopgave

Identificatie van deze hack

Bij de onzin-hack worden er automatisch veel pagina's op uw site gemaakt met onbegrijpelijke zinnen vol zoekwoorden. Dit zijn pagina's die u niet heeft gemaakt, maar deze pagina's hebben mogelijk wel URL's die wellicht gebruikers aanspreken om zo klikken te genereren. Hackers doen dit zodat de gehackte pagina's worden weergegeven in Google Zoeken. Als mensen deze pagina's vervolgens proberen te bezoeken, worden ze doorverwezen naar een niet-gerelateerde pagina, zoals een pornosite. Hackers verdienen geld wanneer mensen deze niet-gerelateerde pagina's bezoeken. Hier volgen enkele voorbeelden van het type bestanden dat u kunt tegenkomen op een site die is getroffen door de onzin-hack:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Soms worden deze bestanden weergegeven in een map met willekeurige tekens en worden er verschillende talen gehanteerd:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Begin door met de tool Beveiligingsproblemen in Search Console te controleren of Google een dergelijke gehackte pagina op uw site heeft gedetecteerd. Soms kunt u pagina's als deze ontdekken door een Google-zoekvenster te openen en site:your site url in te voeren met de URL op rootniveau van uw site. Hiermee ziet u de pagina's die Google voor uw site heeft geïndexeerd, inclusief de gehackte pagina's. Bekijk een aantal pagina's met zoekresultaten om te zien of u ongebruikelijke URL's tegenkomt. Als u geen gehackte content in Google Zoeken ziet, gebruikt u dezelfde zoektermen in een andere zoekmachine. U ziet hieronder een voorbeeld van hoe dat eruitziet.

De zoekresultaten bevatten in dit geval veel pagina's die niet door de eigenaar van de site zijn gemaakt. Als u goed naar de beschrijvingen kijkt, ziet u voorbeelden van de onbegrijpelijke tekst die met deze hack wordt gegenereerd.

Als u op een link naar een gehackte pagina klikt, wordt u meestal doorverwezen naar een andere site of ziet u een pagina vol onbegrijpelijke content. Het kan ook voorkomen dat u een bericht te zien krijgt waarin wordt aangegeven dat de pagina niet bestaat (bijvoorbeeld een 404-fout). Trap hier niet in. Hackers zullen proberen u te laten denken dat de pagina is verwijderd of hersteld terwijl de pagina nog steeds is gehackt. Dit doen ze door content te verbergen (cloaking). Controleer uw site op cloaking door uw site-URL in de tool Fetchen als Google in te voeren. Met de tool 'Fetchen als Google' kunt u onderliggende verborgen content zien.

Als u deze problemen tegenkomt, is uw site waarschijnlijk getroffen door dit type hack.

De hack oplossen

Maak voordat u begint een offline kopie van bestanden voordat u deze verwijdert, voor het geval u deze later moet herstellen. Het is nog beter om een back-up van uw volledige site te maken voordat u het opschoningsproces start. U kunt dit doen door alle bestanden op uw server offline op te slaan of door te zoeken naar de beste back-upmogelijkheden voor uw specifieke CMS.

Uw .htaccess-bestand controleren (twee stappen)

De onzin-hack leidt bezoekers van uw site om via het .htaccess-bestand.

Stap 1

Zoek naar het .htaccess-bestand op uw site. Als u niet zeker weet waar u dit kunt vinden en als u een CMS zoals WordPress, Joomla of Drupal gebruikt, zoekt u via een zoekmachine naar '. htaccess file location' in combinatie met de naam van uw CMS. U heeft afhankelijk van uw site mogelijk meerdere .htaccess-bestanden. Maak een lijst van alle .htaccess-bestandslocaties.

Opmerking: Het .htaccess-bestand is vaak een verborgen bestand. Zorg ervoor dat u verborgen bestanden weergeeft wanneer u naar het bestand zoekt.

Stap 2

Vervang alle .htaccess-bestanden door een schone of standaardversie van het .htaccess-bestand. U kunt doorgaans een standaardversie van een .htaccess-bestand vinden door te zoeken naar 'default .htaccess file' en de naam van uw CMS. Voor sites met meerdere .htaccess-bestanden zoekt u naar een schone versie van elk bestand en vervangt u de oude bestanden.

Als er geen standaard .htaccess aanwezig is en u nog nooit een .htaccess-bestand heeft geconfigureerd op uw site, is het .htaccess-bestand dat u op uw site heeft gevonden waarschijnlijk een schadelijk bestand. Sla voor de zekerheid een offline kopie van het .htaccess-bestand op en verwijder het .htaccess-bestand van uw site.

Andere schadelijke bestanden identificeren en verwijderen (vijf stappen)

De identificatie van schadelijke bestanden kan lastig zijn en veel tijd in beslag nemen. Neem de tijd wanneer u uw bestanden controleert. Maak een back-up van de bestanden op uw site als u dit nog niet heeft gedaan. Voer een Google-zoekopdracht uit naar 'back up site' en de naam van uw CMS om instructies te ontvangen voor het maken van een back-up van uw site.

Stap 1

Als u een CMS gebruikt, moet u alle kernbestanden (standaardbestanden) van de standaarddistributie van uw CMS opnieuw installeren. Alles wat u heeft toegevoegd (zoals thema's, modules of plug-ins), moet ook opnieuw worden geïnstalleerd. Zo zorgt u ervoor dat deze bestanden vrij zijn van gehackte content. U kunt een Google-zoekopdracht uitvoeren voor 'reinstall' en uw CMS-naam voor instructies over het herinstallatieproces. Als u plug-ins, modules, extensies of thema's gebruikt, moet u deze ook opnieuw installeren.

Als u uw kernbestanden opnieuw installeert, gaan alle door u aangebrachte aanpassingen verloren. Zorg ervoor dat u een back-up maakt van uw database en alle bestanden voordat u opnieuw installeert.

Stap 2

U moet nu zoeken naar resterende schadelijke of gehackte bestanden. Dit is het moeilijkste en tijdrovendste deel van het proces, maar u bent na deze stap bijna klaar.

Via deze hack worden er doorgaans twee typen bestanden achtergelaten: .txt-bestanden en .php-bestanden. De .txt-bestanden dienen als templatebestanden en met de .php-bestanden wordt vastgesteld welk type onbegrijpelijke content op uw site moet worden geladen. Begin door te zoeken naar de .txt-bestanden. Afhankelijk van hoe u verbinding maakt met uw site, ziet u mogelijk een zoekfunctie voor bestanden. Zoek naar '.txt' om alle bestanden met een .txt-extensie op te vragen. De meeste van deze bestanden zijn legitieme tekstbestanden zoals licentieovereenkomsten, readme-bestanden enzovoort. U zoekt in dit geval een specifieke set van .txt-bestanden die HTML-code bevatten waarmee spamtemplates worden gemaakt. Hieronder vindt u fragmenten van verschillende stukjes code die u in deze schadelijke .txt-bestanden kunt vinden.

Hackers gebruiken zoekwoordvervanging om de spampagina's te maken. U ziet mogelijk een algemeen woord dat in het volledige gehackte bestand kan worden vervangen.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

Daarnaast bevatten de meeste van deze bestanden een type code waarmee spamlinks en -tekst buiten de zichtbare pagina worden geplaatst.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Verwijder deze .txt-bestanden. Als deze allemaal in dezelfde map staan, kunt u de volledige map verwijderen.

Stap 3

De schadelijke PHP-bestanden zijn iets moeilijker op te sporen. Uw site kan een of meer schadelijke PHP-bestanden bevatten. Ze kunnen allemaal in dezelfde subdirectory zijn opgeslagen of verspreid over uw site.

U hoeft niet elk PHP-bestand te openen en door te nemen. Begin door een lijst te maken van verdachte PHP-bestanden die u nader wilt onderzoeken. Hier volgen enkele manieren om te bepalen welke PHP-bestanden verdacht zijn:

  • Aangezien u uw CMS-bestanden al opnieuw heeft geladen, hoeft u alleen te kijken naar bestanden die geen deel uitmaken van uw standaard CMS-bestanden of -mappen. Hiermee valt al een groot aantal PHP-bestanden af en houdt u een handjevol bestanden over om te controleren.
  • Sorteer de bestanden op uw site op de laatst gewijzigde datum. Zoek naar bestanden die zijn gewijzigd binnen een paar maanden na de tijd dat u heeft ontdekt dat uw site is gehackt.
  • Sorteer de bestanden op uw site op grootte. Zoek naar ongewoon grote bestanden.

Stap 4

Nu u een lijst van verdachte PHP-bestanden heeft, controleert u of deze schadelijk zijn. Als u onbekend bent met PHP, kan dit proces tijdrovender zijn. U kunt als voorbereiding PHP-documentatie doornemen. Ook als coderen helemaal nieuw is voor u, zijn er echter wel een aantal basispatronen waarnaar u kunt zoeken om schadelijke bestanden te identificeren.

Neem eerst de verdachte bestanden die u al heeft geïdentificeerd door om grote blokken tekst met een combinatie van ogenschijnlijk willekeurige letters en cijfers te achterhalen. Het grote tekstblok wordt meestal voorafgegaan door een combinatie van PHP-functies zoals base64_decode, rot13, eval, strrev, gzinflate. Hier volgt een voorbeeld van hoe een codeblok eruit kan zien. Soms wordt al deze code in een lange tekstregel gezet, waardoor deze kleiner lijkt dan deze eigenlijk is:

<!--Hackers try to confuse webmasters by encoding malicious code into blocks
of texts. Be wary of unfamiliar code blocks like this.-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Soms wordt de code niet door elkaar gezet en lijkt de code op normaal script. Als u niet zeker weet of de code schadelijk is, kunt u naar de Helpforums voor webmasters gaan om advies in te winnen van ervaren webmasters.

Stap 5

Nu u weet welke bestanden verdacht zijn, maakt u een back-up of lokale kopie door de bestanden op uw computer op te slaan voor het geval deze niet schadelijk zijn. Vervolgens verwijdert u de verdachte bestanden.

Controleren of uw site schoon is

Zodra u klaar bent met het verwijderen van gehackte bestanden, moet u controleren of alles goed is gegaan. Kunt u zich de onzinpagina's nog herinneren die u eerder heeft geïdentificeerd? Gebruik opnieuw de tool 'Fetchen als Google' om te controleren of deze pagina's nog aanwezig zijn. Als deze niet worden gevonden in 'Fetchen als Google', is de kans heel groot dat er niets meer aan de hand is.

U kunt ook de stappen in de probleemoplosser voor gehackte sites volgen om te controleren of uw site nog gehackte content bevat.

Hoe voorkom ik dat ik opnieuw word gehackt?

Het oplossen van beveiligingsproblemen op uw site is een essentiële laatste stap om uw site helemaal te herstellen. Uit een recent onderzoek is gebleken dat 20% van de gehackte sites binnen één dag opnieuw wordt gehackt. Het is handig om precies te weten hoe uw site is gehackt. Lees de gids met de meest voorkomende manieren waarop websites worden gehackt door spammers om uw onderzoek te starten. Als u echter niet kunt achterhalen hoe uw site is gehackt, volgt hieronder een checklist met dingen die u kunt doen om het aantal beveiligingsproblemen op uw site te verminderen:

  • Scan uw computer regelmatig: Gebruik een populaire virusscanner om te controleren op virussen of beveiligingsproblemen.
  • Wijzig uw wachtwoorden regelmatig: Door de wachtwoorden voor al uw websiteaccounts (zoals accounts voor uw hostingprovider, FTP en CMS) regelmatig te wijzigen, kunt u voorkomen dat onbevoegden toegang krijgen tot uw site. Het is belangrijk om een sterk, uniek wachtwoord voor elk account te gebruiken.
  • Gebruik authenticatie in twee stappen (2FA): Overweeg 2FA in te schakelen voor elke service waarbij u moet inloggen. Met 2FA is het voor hackers moeilijker om in te loggen, zelfs als ze uw wachtwoord hebben buitgemaakt.
  • Update regelmatig uw CMS, plug-ins, extensies en modules: Hopelijk heeft u deze stap al uitgevoerd. Veel sites worden gehackt vanwege verouderde software die op een site wordt gebruikt. Sommige contentmanagementsystemen bieden ondersteuning voor automatische updates.
  • Overweeg u aan te melden voor een beveiligingsservice om uw site in de gaten te houden: Er zijn veel goede services beschikbaar die u tegen lage kosten kunnen helpen bij het controleren van uw site. U kunt zich voor deze services aanmelden om uw site veilig te houden.

Aanvullende bronnen

Als u nog steeds problemen ondervindt bij het herstellen van uw site, zijn er nog een aantal bronnen die hulp kunnen bieden.

Deze tools scannen uw site en kunnen problematische content opsporen. Google voert deze tools niet uit en biedt geen ondersteuning voor deze tools, behalve voor VirusTotal.

VirusTotal, Aw-snap.info, Sucuri Site Check, Quttera: Dit zijn een aantal tools die uw site kunnen controleren op problematische content. Deze scanners bieden geen garantie dat ze elk type problematische content kunnen opsporen.

Hier volgen enkele aanvullende bronnen van Google die u kunnen helpen:

Ontbreekt er iets wat volgens u nuttig is? Geef feedback om ons dit te laten weten.