W tym przewodniku omawiamy ataki hakerów polegające na tworzeniu w witrynie automatycznie generowanego tekstu w języku japońskim. Jest to tzw. atak hakerów na japońskie słowa kluczowe. Narażeni są na niego użytkownicy popularnych systemów zarządzania treścią (CMS), ale podane tu informacje mogą Ci się przydać, nawet jeśli nie korzystasz z takiego systemu.
Chcemy mieć pewność, że ten przewodnik będzie dla Ciebie naprawdę przydatny. Prześlij opinię, aby pomóc nam ulepszać tę usługę.
Rozpoznaj ten typ ataku
Ataki wykorzystujące japońskie słowa kluczowe zwykle tworzą w witrynie nowe strony z automatycznie wygenerowanym tekstem w języku japońskim i losowo generowanymi nazwami katalogów (np. http://example.com/ltjmnjp/341.html). Zarabianie na tych stronach jest możliwe dzięki linkom do sklepów sprzedających fałszywe markowe gadżety, a potem są wyświetlane w wyszukiwarce Google. Oto przykład, jak może wyglądać jedna z tych stron:
W przypadku tego typu ataku haker zwykle dodaje siebie jako właściciela usługi w Search Console, aby zwiększać zyski, manipulując ustawieniami witryny, takimi jak kierowanie geograficzne czy mapy witryn. Jeśli otrzymasz powiadomienie, że nieznana Ci osoba zweryfikowała Twoją witrynę w Search Console, bardzo możliwe, że została zaatakowana przez hakera.
Najpierw skorzystaj z narzędzia Problemy dotyczące bezpieczeństwa w Search Console i sprawdź, czy Google znajduje zmodyfikowane strony w Twojej witrynie. Takie strony można też wykryć, wpisując site:_your site url_ w wyszukiwarce Google i podając główny adres URL swojej witryny. Spowoduje to wyświetlenie stron zindeksowanych przez Google w Twojej witrynie, w tym stron zaatakowanych przez hakerów. Przejrzyj kilka stron wyników wyszukiwania pod kątem nietypowych adresów URL. Jeśli w wyszukiwarce Google nie znajdziesz zmodyfikowanych treści, użyj innej wyszukiwarki. Przykład:
Zwykle po kliknięciu linku do zaatakowanej strony następuje przekierowanie do innej witryny lub strona pełna bezużytecznych treści. Może się jednak pojawić komunikat sugerujący, że strona nie istnieje (np. błąd 404). Nie daj się zwieść! Haker będzie usiłował Cię przekonać, że strona została zaatakowana lub że wciąż jest zaatakowana. Wykorzystywane są do tego maskowanie Aby sprawdzić, czy tak się nie stało, wpisz adresy URL witryny do narzędzia do sprawdzania adresów URL. Pozwoli to zobaczyć ukryte treści.
Jeśli widzisz te problemy, to najprawdopodobniej witryna została zaatakowana przez hakerów.
Naprawianie błędu
Zanim zaczniesz usuwać pliki, utwórz ich kopię offline na wypadek, gdyby trzeba je było później przywrócić. Jeszcze lepszym rozwiązaniem jest utworzenie kopii zapasowej całej witryny przed rozpoczęciem procesu czyszczenia. Możesz zapisać wszystkie pliki z serwera w innej lokalizacji lub poszukać najlepszych metod tworzenia kopii zapasowej dla Twojego systemu zarządzania treścią (CMS). Jeśli używasz systemu CMS, utwórz również kopię zapasową bazy danych.
Usuwanie nowych kont z Search Console
Jeśli do Twojego konta w Search Console został dodany nowy właściciel, którego nie rozpoznajesz, jak najszybciej odbierz mu dostęp. Na stronie weryfikacji w Search Console możesz sprawdzić, którzy użytkownicy są zweryfikowani w Twojej witrynie. Kliknij link „Szczegóły weryfikacji” obok witryny, aby wyświetlić wszystkich zweryfikowanych użytkowników.
Informacje o tym, jak usunąć właściciela z Search Console, znajdziesz w sekcji Usuwanie właściciela na stronie Zarządzanie użytkownikami, właścicielami i uprawnieniami w Centrum pomocy.
Musisz usunąć powiązany token weryfikacyjny, czyli zwykle plik HTML w katalogu głównym witryny lub generowany dynamicznie plik .htaccess naśladujący plik HTML.
Jeśli nie możesz znaleźć tokena weryfikacyjnego HTML w swojej witrynie, sprawdź, czy w pliku .htaccess nie ma reguły przepisywania. Reguła przepisywania będzie wyglądać mniej więcej tak:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Aby usunąć dynamicznie generowany token weryfikacyjny z pliku .htaccess, wykonaj te czynności:
Sprawdź plik .htaccess (2 kroki)
Oprócz wykorzystywania pliku .htaccess do tworzenia dynamicznie generowanych tokenów weryfikacyjnych hakerzy często używają reguł .htaccess do przekierowywania użytkowników lub tworzenia bezużytecznych stron ze spamem. Jeśli nie masz niestandardowych reguł .htaccess, rozważ zastąpienie elementu .htaccess zupełnie nową wersją.
Krok 1
Znajdź plik .htaccess w swojej witrynie. Jeżeli nie masz pewności, gdzie go znaleźć, a korzystasz z systemu CMS takiego jak WordPress, Joomla czy Drupal, wpisz w wyszukiwarce „lokalizacja pliku .htaccess” wraz z nazwą systemu CMS.
W zależności od witryny możesz zobaczyć wiele plików .htaccess.
Utwórz listę wszystkich lokalizacji plików (.htaccess).
Krok 2
Zastąp wszystkie pliki .htaccess czystą lub domyślną wersją pliku .htaccess. Domyślną wersję pliku .htaccess można zwykle znaleźć, wyszukując „domyślny plik .htaccess” i nazwę systemu CMS. W przypadku witryn z wieloma plikami .htaccess znajdź i zastąp czystą wersję każdego z nich.
Jeśli nie istnieje domyślny plik .htaccess, a plik .htaccess nie został nigdy skonfigurowany w witrynie, znaleziony plik .htaccess jest prawdopodobnie szkodliwy. Zapisz kopię plików(.htaccess) offline na wszelki wypadek i usuń plik .htaccess ze swojej witryny.
Usuwanie wszystkich złośliwych plików i skryptów (cztery kroki)
Rozpoznawanie złośliwych plików bywa trudne i czasochłonne. Nie spiesz się, sprawdzając pliki. To dobry moment, by utworzyć kopię zapasową plików w witrynie, jeśli jeszcze jej nie masz. Wyszukaj w Google „kopia zapasowa witryny” wraz z nazwą systemu CMS, by dowiedzieć się, jak utworzyć kopię zapasową witryny.
Krok 1
Jeśli używasz systemu CMS, zainstaluj ponownie wszystkie podstawowe (domyślne) pliki, które znajdują się w domyślnej dystrybucji Twojego systemu CMS, a także wszystko, co zostało dodane (np. motywy, moduły czy wtyczki). Dzięki temu będziemy mieć pewność, że nie są zmodyfikowane przez hakerów. Wyszukaj w Google „ponowna instalacja” wraz z nazwą systemu CMS, aby znaleźć instrukcje. Jeśli masz jakieś wtyczki, moduły, rozszerzenia lub motywy, pamiętaj, by je również zainstalować ponownie.
Krok 2
Hakerzy często modyfikują mapę witryny lub dodają nowe mapy witryn, aby ich adresy URL były szybciej zindeksowane. Jeśli był wcześniej plik mapy witryny, sprawdź go pod kątem podejrzanych linków i usuń je z mapy witryny. Dokładnie sprawdź pliki map witryn, których dodanie do witryny nie jest bezpieczne. Jeśli zawierają tylko spamerskie adresy URL, usuń je.
Krok 3
Poszukaj innych złośliwych lub przejętych plików. Być może w poprzednich 2 krokach wszystkie złośliwe pliki zostały już usunięte, ale lepiej te kolejne kroki wykonać na wypadek, gdyby w witrynie było więcej zmodyfikowanych plików.
Nie obawiaj się, że trzeba będzie otwierać i sprawdzać każdy plik PHP. Zacznij od utworzenia listy podejrzanych plików PHP, które chcesz zbadać. Oto kilka sposobów sprawdzenia, które pliki PHP mogą być podejrzane:
- Jeśli pliki systemu CMS zostały załadowane ponownie, sprawdź tylko te pliki, które nie są domyślnymi plikami lub folderami tego systemu. W ten sposób wyeliminujesz wiele plików PHP i zostaną Ci do sprawdzenia tylko nieliczne.
- Posortuj pliki w witrynie według daty ostatniej modyfikacji. Poszukaj plików, które były zmodyfikowane w ciągu kilku miesięcy od momentu, gdy udało Ci się wykryć atak na witrynę.
- Posortuj pliki w witrynie według rozmiaru. Poszukaj nietypowo dużych plików.
Krok 4
Gdy sporządzisz listę podejrzanych plików PHP, sprawdź, czy nie zawierają szkodliwych treści. Jeśli nie znasz się za bardzo na PHP, może to zająć trochę czasu, pomyśl więc nad przejrzeniem dokumentacji języka PHP. Użytkownikom, którzy nie mają nic wspólnego z kodowaniem, zalecamy skorzystanie z pomocy. Oto kilka podstawowych wzorców, których możesz użyć do identyfikacji szkodliwych plików.
Jeśli korzystasz z systemu CMS i nie masz w zwyczaju bezpośrednio edytować plików PHP, porównaj pliki na serwerze z listą domyślnych plików w pakiecie CMS oraz wszystkich wtyczek i motywów. Poszukaj plików, które nie należą do Ciebie, a także tych, które są większe niż ich domyślna wersja.
Przejrzyj podejrzane pliki pod kątem bloków zaciemnionego kodu. Może to wyglądać jak połączenie pozornie pomieszanych liter i liczb, zwykle poprzedzone kombinacją funkcji PHP takich jak base64_decode, rot13, eval, strrev lub gzinflate. Oto przykład tego bloku kodu. Czasem taki kod może być ściśnięty w jeden długi wiersz tekstu, przez co będzie wydawał się mniejszy niż jest w rzeczywistości.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Sprawdzanie, czy witryna jest czysta
Gdy zdołasz się pozbyć zmodyfikowanych plików, sprawdź, czy Twoja praca się opłaciła. Pamiętasz znalezione wcześniej strony z bezużytecznym tekstem? Użyj narzędzia Pobierz jako Google, by sprawdzić, czy wciąż istnieją. Jeśli uzyskasz odpowiedź „Nie znaleziono”, prawdopodobnie jest całkiem dobrze i możesz przejść do usuwania luk w zabezpieczeniach witryny.
Jak zapobiec ponownym atakom?
Zlikwidowanie luk w zabezpieczeniach witryny to kluczowy ostatni krok procesu usuwania błędów w witrynie. Niedawne badanie wykazało, że 20% zaatakowanych witryn ponownie zostaje zaatakowanych w ciągu jednego dnia. Wiedza o tym, jak doszło do ataku, bardzo Ci się przyda. Więcej informacji znajdziesz w naszym poradniku dotyczącym najczęstszych sposobów atakowania witryn przez spamerów. Jeśli jednak nie jesteś w stanie ustalić, jak doszło do ataku, zapoznaj się z poniższą listą czynności, które możesz wykonać, aby ograniczyć luki w zabezpieczeniach witryny.
- Regularnie skanuj komputer: korzystaj z któregoś z popularnych programów antywirusowych i szukaj wirusów oraz luk w zabezpieczeniach.
- Regularnie zmieniaj hasła: regularne zmienianie haseł do wszystkich kont powiązanych z witryną (FTP, CMS, konto u dostawcy usług hostingowych) może zapobiec nieautoryzowanemu dostępowi. Ważne, by dla każdego konta utworzyć silne, unikalne hasło.
- Użyj uwierzytelniania dwuskładnikowego: zastanów się nad włączeniem go we wszystkich usługach, które wymagają logowania. Utrudnia hakerom zalogowanie się, nawet jeśli zdobędą Twoje hasło.
- Regularnie aktualizuj system CMS, wtyczki, rozszerzenia i moduły: ten krok już prawdopodobnie masz za sobą. Wiele witryn zostaje zaatakowanych z powodu przestarzałego oprogramowania. Niektóre systemy CMS obsługują automatyczne aktualizacje.
- Zastanów się nad subskrypcją usługi monitorowania Twojej witryny pod kątem bezpieczeństwa: dostępnych jest wiele ciekawych usług, które za niewielką opłatą pomogą Ci w tym zadaniu. Rozważ, czy warto zarejestrować się w którejś z nich, by lepiej chronić witrynę.
Dodatkowe zasoby
Jeśli wciąż masz problem z naprawieniem szkód w witrynie, poniżej znajdziesz kilka dodatkowych zasobów, które mogą okazać się pomocne.
Te narzędzia przeskanują witrynę i być może znajdą problematyczne treści. Oprócz VirusTotal żadne z nich nie jest obsługiwane przez Google.
To tylko niektóre narzędzia, które mogą skanować witrynę pod kątem problematycznych treści. Pamiętaj, że nie gwarantują one wykrycia wszystkich treści, które stanowią zagrożenie.
Dodatkowe zasoby Google, które mogą się przydać: