คำแนะนำนี้จัดทำขึ้นเพื่อการแฮ็กประเภทหนึ่งที่ใช้สร้างข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติในเว็บไซต์ ซึ่งเราจะเรียกว่าการแฮ็กแบบคีย์เวิร์ดภาษาญี่ปุ่น คำแนะนำนี้จัดทำขึ้นสำหรับผู้ใช้ระบบจัดการเนื้อหา (CMS) ยอดนิยม แต่คำแนะนำนี้มีประโยชน์แม้ว่าคุณจะไม่ได้ใช้ CMS ก็ตาม
เราอยากแน่ใจว่าคู่มือนี้จะมีประโยชน์ต่อคุณจริงๆ แสดงความคิดเห็นเพื่อช่วยเราปรับปรุง
ระบุการแฮ็กประเภทนี้
การแฮ็กด้วยคีย์เวิร์ดภาษาญี่ปุ่นมักสร้างหน้าเว็บใหม่ที่มีข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติในเว็บไซต์ในชื่อไดเรกทอรีที่สร้างขึ้นแบบสุ่ม (เช่น http://example.com/ltjmnjp/341.html) หน้าเหล่านี้สร้างรายได้โดยใช้ลิงก์แอฟฟิลิเอตไปยังร้านค้าที่ขายสินค้าแบรนด์ปลอมและแสดงใน Google Search หน้าเว็บดังกล่าวมีลักษณะดังนี้
ในการแฮ็กประเภทนี้ แฮ็กเกอร์มักจะเพิ่มตัวเองเป็นเจ้าของพร็อพเพอร์ตี้ใน Search Console เพื่อเพิ่มกำไรโดยการปรับเปลี่ยนการตั้งค่าของเว็บไซต์ เช่น การกำหนดเป้าหมายตามภูมิศาสตร์หรือ Sitemap หากคุณได้รับการแจ้งเตือนว่ามีบุคคลที่คุณไม่รู้จักได้ยืนยันเว็บไซต์ของคุณใน Search Console ก็มีความเป็นไปได้สูงว่าเว็บไซต์ของคุณถูกแฮ็ก
ให้เริ่มจากการตรวจสอบเครื่องมือปัญหาด้านความปลอดภัยใน Search Console เพื่อดูว่า Google ตรวจพบหน้าที่ถูกแฮ็กลักษณะนี้ในเว็บไซต์ของคุณหรือไม่ บางครั้งคุณอาจพบหน้าลักษณะนี้ได้ด้วยการเปิดหน้าต่าง Google Search และพิมพ์ site:_your site url_ โดยใส่ URL ระดับรากของเว็บไซต์ คำสั่งนี้จะแสดงหน้าเว็บที่ Google จัดทำดัชนีให้กับไซต์
รวมถึงหน้าที่ถูกแฮ็กด้วย เปิดดูผลการค้นหาเร็วๆ สัก 2-3 หน้าเพื่อดูว่าพบ URL ที่ผิดปกติบ้างไหม ถ้าไม่พบเนื้อหาที่ถูกแฮ็กใน Google Search ให้ใช้ข้อความค้นหาเดียวกันนี้กับเครื่องมือค้นหาอื่น ตัวอย่างหน้าตามีดังนี้
โดยปกติแล้ว เมื่อคุณคลิกลิงก์ไปยังหน้าที่ถูกแฮ็ก คุณจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นหรือเห็นหน้าที่เต็มไปด้วยเนื้อหาที่ไม่มีความหมาย อย่างไรก็ตาม คุณยังอาจเห็นข้อความที่บ่งบอกว่าหน้านี้ไม่มีอยู่จริง (เช่น ข้อผิดพลาด 404) ด้วย แต่อย่าได้หลงกลไป แฮ็กเกอร์จะพยายามหลอกคุณ ว่าหน้านั้นได้หายไปหรือมีการแก้ไขแล้ว ซึ่งทำได้ด้วยการปิดบังเนื้อหา ให้ตรวจหาการปิดบังหน้าเว็บจริงโดยป้อน URL ของเว็บไซต์ในเครื่องมือตรวจสอบ URL เครื่องมือดึงข้อมูลเหมือนเป็น Google ช่วยให้คุณเห็นเนื้อหาที่ซ่อนอยู่ที่ซ่อนอยู่
หากพบปัญหาเหล่านี้ แสดงว่าเว็บไซต์ของคุณน่าจะได้รับผลกระทบจากการแฮ็กประเภทนี้
แก้ไขการแฮ็ก
ก่อนที่จะเริ่ม ให้สร้างสำเนาแบบออฟไลน์ของไฟล์ก่อนที่จะลบไฟล์ออก เพื่อเผื่อไว้ในกรณีที่คุณต้องการนำกลับเข้าระบบในภายหลัง แต่ทางที่ดี คุณควรจะสำรองไซต์ไว้ทั้งไซต์ก่อนที่จะเริ่มขั้นตอนการทำความสะอาด ซึ่งทำได้โดยบันทึกไฟล์ทั้งหมดที่อยู่ในเซิร์ฟเวอร์ไว้นอกเซิร์ฟเวอร์ หรือหาตัวเลือกการสำรองข้อมูลที่ดีที่สุดสำหรับระบบจัดการเนื้อหา (CMS) ของคุณโดยเฉพาะ หากใช้ CMS ให้สำรองข้อมูลฐานข้อมูลด้วย
นำบัญชีที่สร้างใหม่ออกจาก Search Console
หากมีการเพิ่มเจ้าของใหม่ที่คุณไม่รู้จักลงในบัญชี Search Console ให้เพิกถอนสิทธิ์เข้าถึงของบุคคลดังกล่าวโดยเร็วที่สุด คุณสามารถตรวจสอบได้ว่ามีผู้ใช้รายใดบ้างที่ได้รับการยืนยันให้เข้าถึงเว็บไซต์ของคุณในหน้าการยืนยันของ Search Console คลิก "รายละเอียดการยืนยัน" ของเว็บไซต์เพื่อดูผู้ใช้ที่ผ่านการยืนยันทั้งหมด
หากต้องการนำเจ้าของออกจาก Search Console โปรดดูส่วน "นำเจ้าของออก" ในศูนย์ช่วยเหลือการจัดการผู้ใช้ เจ้าของ และสิทธิ์
คุณจะต้องนำโทเค็นการยืนยันที่เกี่ยวข้องออก ซึ่งปกติแล้วจะเป็นไฟล์ HTML ในรูทของเว็บไซต์ หรือไฟล์ .htaccess ที่สร้างขึ้นแบบไดนามิกซึ่งเลียนแบบไฟล์ HTML
หากไม่พบโทเค็นการยืนยัน HTML ในเว็บไซต์ ให้ลองหากฎการเขียนใหม่ในไฟล์ .htaccess กฎการเขียนใหม่จะมีลักษณะดังนี้
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
หากต้องการนำโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกออกจากไฟล์ .htaccess ให้ทำตามขั้นตอนต่อไปนี้
ตรวจสอบไฟล์ .htaccess (2 ขั้นตอน)
นอกเหนือจากการใช้ไฟล์ .htaccess เพื่อสร้างโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกแล้ว แฮ็กเกอร์ยังมักใช้กฎ .htaccess เพื่อเปลี่ยนเส้นทางผู้ใช้หรือสร้างหน้าสแปมที่ไม่มีความหมาย ลองแทนที่ .htaccess ด้วยสำเนาใหม่ทั้งหมด เว้นแต่คุณจะมีกฎ .htaccess ที่กำหนดเอง
ขั้นตอนที่ 1
ค้นหาไฟล์ .htaccess ในเว็บไซต์ของคุณ ถ้าไม่แน่ใจว่าอยู่ที่ใด และคุณใช้ CMS อย่างเช่น WordPress, Joomla หรือ Drupal ให้ค้นหา "ตำแหน่งไฟล์ .htaccess" ในเครื่องมือค้นหาพร้อมชื่อ CMS ของคุณ
คุณอาจเห็นไฟล์ .htaccess หลายไฟล์ ซึ่งขึ้นอยู่กับเว็บไซต์ของคุณ
ให้สร้างรายการตำแหน่งของไฟล์ .htaccess ทั้งหมด
ขั้นตอนที่ 2
แทนที่ไฟล์ .htaccess ทั้งหมดด้วยไฟล์ .htaccess เวอร์ชันที่สะอาดหรือเป็นค่าเริ่มต้น โดยปกติคุณจะหาเวอร์ชันเริ่มต้นของไฟล์ .htaccess ได้โดยค้นหา "ไฟล์ .htaccess เริ่มต้น" และชื่อ CMS ของคุณ สำหรับเว็บไซต์ที่มีไฟล์ .htaccess หลายไฟล์ ให้หาเวอร์ชันปกติของแต่ละไฟล์แล้วแทนที่
หากไม่มี .htaccess เริ่มต้นและคุณไม่เคยกำหนดค่าไฟล์ .htaccess ในเว็บไซต์ ไฟล์ .htaccess ที่คุณพบในเว็บไซต์อาจเป็นอันตราย บันทึกสำเนาของไฟล์ .htaccess ไฟล์แบบออฟไลน์เพื่อเผื่อไว้และลบไฟล์ .htaccess ออกจากเว็บไซต์
นำไฟล์และสคริปต์ที่เป็นอันตรายทั้งหมดออก (4 ขั้นตอน)
การระบุไฟล์ที่เป็นอันตรายอาจเป็นเรื่องยุ่งยากและใช้เวลานาน ให้ใช้เวลาอย่างเต็มที่ ในการตรวจสอบไฟล์ ถ้าคุณยังไม่ได้สำรองไฟล์ในไซต์ ก็ควรทำตอนนี้เลย ให้ค้นหาด้วยคำว่า "สำรองข้อมูลไซต์" และชื่อ CMS ของคุณใน Google เพื่อหาคำแนะนำเกี่ยวกับวิธีสำรองข้อมูลไซต์
ขั้นตอนที่ 1
ถ้าคุณใช้ CMS ให้ติดตั้งไฟล์หลักทั้งหมด (ที่เป็นค่าเริ่มต้น) ที่อยู่ในชุดแพ็กเกจที่เป็นค่าเริ่มต้นของ CMS ตลอดจนไฟล์อื่นๆ ที่คุณเพิ่มไว้ (เช่น ธีม โมดูล หรือปลั๊กอิน) ซึ่งจะช่วยให้แน่ใจว่าไฟล์เหล่านี้ ไม่มีเนื้อหาที่ถูกแฮก คุณสามารถค้นหา "ติดตั้งอีกครั้ง" และชื่อ CMS ใน Google เพื่อหาคำแนะนำในการติดตั้งอีกครั้ง ถ้าคุณมีปลั๊กอิน โมดูล ส่วนขยาย หรือธีม อย่าลืมติดตั้งรายการทั้งหมดนี้อีกครั้งด้วย
ขั้นตอนที่ 2
แฮกเกอร์มักจะแก้ไข Sitemap หรือเพิ่ม Sitemap ใหม่เพื่อช่วยให้ URL ได้รับการจัดทำดัชนีเร็วขึ้น หากก่อนหน้านี้คุณมีไฟล์ Sitemap ให้ตรวจสอบไฟล์เพื่อหาลิงก์ที่น่าสงสัยและนำออกจาก Sitemap หากมีไฟล์แผนผังเว็บไซต์ที่คุณจำไม่ได้ว่าได้เพิ่มลงในเว็บไซต์ ให้ตรวจสอบอีกครั้ง และนำออกหากมีเฉพาะ URL ที่เป็นสแปมเท่านั้น
ขั้นตอนที่ 3
มองหาไฟล์อื่นๆ ที่เป็นอันตรายหรือถูกบุกรุก คุณอาจนำไฟล์ที่เป็นอันตรายทั้งหมดออกไปแล้วใน 2 ขั้นตอนก่อนหน้านี้ แต่ก็ขอแนะนำให้คุณทำตาม 2-3 ขั้นตอนถัดไปนี้ เผื่อในกรณีที่มีไฟล์อื่นๆ ในเว็บไซต์ของคุณถูกบุกรุกอีก
อย่าเพิ่งกังวลไปเพราะคิดว่าจะต้องเปิดและตรวจสอบไฟล์ PHP ทุกไฟล์ ให้เริ่มด้วยการสร้างรายการไฟล์ PHP ที่น่าสงสัยที่คุณต้องการตรวจสอบ ต่อไปนี้เป็นตัวอย่างวิธีพิจารณาว่าไฟล์ PHP ใดบ้างน่าสงสัย
- หากคุณโหลดไฟล์ CMS มาใหม่แล้ว ให้ดูเฉพาะไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของไฟล์หรือโฟลเดอร์ CMS ที่เป็นค่าเริ่มต้น ซึ่งวิธีนี้จะทำให้ข้ามไฟล์ PHP ได้เป็นจำนวนมาก และเหลือไฟล์ที่ต้องตรวจสอบเพียงเล็กน้อย
- จัดเรียงไฟล์ในไซต์ตามวันที่แก้ไขครั้งล่าสุด มองหาไฟล์ที่มีการแก้ไขในช่วงเวลาที่ห่างจากเวลาที่คุณพบว่าไซต์ถูกแฮ็กเป็นครั้งแรกไม่กี่เดือน
- จัดเรียงไฟล์ในไซต์ตามขนาด มองหาไฟล์ที่มีขนาดใหญ่ผิดปกติ
ขั้นตอนที่ 4
เมื่อคุณมีรายชื่อไฟล์ PHP ที่น่าสงสัยเรียบร้อยแล้ว ให้ตรวจดูว่าไฟล์เหล่านั้นมีเนื้อหาที่เป็นอันตรายหรือไม่ หากคุณไม่คุ้นเคยกับ PHP ขั้นตอนนี้อาจใช้เวลามากขึ้น ดังนั้นโปรดลองอ่านเอกสารประกอบเกี่ยวกับ PHP เพื่อเป็นการทบทวน ถ้าคุณไม่เคยเขียนโค้ดมาก่อนเลย ขอแนะนำให้ขอความช่วยเหลือ ในระหว่างนี้ คุณสามารถดูรูปแบบพื้นฐานบางอย่างเพื่อระบุไฟล์ที่เป็นอันตราย
ถ้าคุณใช้ CMS และไม่ค่อยชอบแก้ไขไฟล์ PHP โดยตรง ให้เปรียบเทียบไฟล์ในเซิร์ฟเวอร์ของคุณกับรายการไฟล์เริ่มต้นที่นำมารวมไว้กับ CMS รวมถึงปลั๊กอินและธีมต่างๆ มองหาไฟล์ที่ไม่ได้อยู่ในไฟล์ รวมถึงไฟล์ที่มีขนาดใหญ่กว่าเวอร์ชันเริ่มต้น
สแกนไฟล์ที่น่าสงสัยที่คุณได้ระบุไว้แล้วเพื่อหาบล็อกโค้ดที่ปรับให้ยากต่อการอ่าน (Obfuscate) ซึ่งอาจดูเหมือนตัวอักษรและตัวเลขที่ผสมปนเปกันอย่างยุ่งเหยิง ซึ่งโดยปกติจะนำหน้าด้วยฟังก์ชัน PHP เช่น base64_decode, rot13, eval, strrev หรือ gzinflate นี่คือตัวอย่างหน้าตาบล็อกโค้ดนี้ บางครั้งโค้ดเหล่านี้ทั้งหมดจะถูกอัดอยู่ด้วยกันในข้อความยาวๆ
บรรทัดเดียว ซึ่งทำให้ดูเหมือนมีขนาดเล็กกว่าที่เป็นจริง
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
ตรวจสอบว่าเว็บไซต์เป็นปกติแล้วหรือไม่
เมื่อกำจัดไฟล์ที่ถูกแฮ็กออกไปแล้ว ให้ตรวจสอบว่าความทุ่มเทของคุณไม่เสียเปล่า ยังจำหน้าที่ไม่มีความหมายที่คุณพบก่อนหน้านี้ได้ไหม ให้ใช้เครื่องมือโปรแกรม Googlebot จำลองอีกครั้ง เพื่อดูว่าหน้ายังอยู่หรือไม่ ถ้าผลจากโปรแกรม Googlebot จำลองออกมาว่า "ไม่พบ" ก็แสดงว่าไซต์น่าจะไร้ปัญหาใดๆ แล้ว
ฉันจะป้องกันการถูกแฮ็กอีกได้อย่างไร
การแก้ไขช่องโหว่ในเว็บไซต์เป็นขั้นตอนสุดท้ายที่จำเป็นสำหรับการแก้ปัญหาเว็บไซต์ ผลการศึกษาเมื่อเร็วๆ นี้พบว่า 20% ของไซต์ที่ถูกแฮ็กได้ถูกแฮ็กซ้ำภายใน 1 วัน การรู้อย่างแน่ชัดว่าไซต์ถูกแฮ็กได้อย่างไรจึงมีประโยชน์อย่างยิ่ง อ่านคำแนะนำเรื่องวิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุดเพื่อเริ่มตรวจสอบ อย่างไรก็ตาม หากคุณหาไม่ได้ว่าเว็บไซต์ถูกแฮ็กได้อย่างไร ให้ลองดูรายการตรวจสอบสิ่งที่คุณทำได้เพื่อลดช่องโหว่ในเว็บไซต์
- สแกนคอมพิวเตอร์เป็นประจำ: ใช้เครื่องมือสแกนไวรัสยอดนิยมเพื่อหาไวรัสหรือช่องโหว่
- เปลี่ยนรหัสผ่านเป็นประจำ: การเปลี่ยนรหัสผ่านของบัญชีทั้งหมดของเว็บไซต์เป็นประจำ เช่น ผู้ให้บริการโฮสติ้ง, FTP และ CMS จะช่วยป้องกันการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตได้ ซึ่งเป็นสิ่งสำคัญในการสร้างรหัสผ่าน ที่รัดกุมและไม่ซ้ำกันสำหรับแต่ละบัญชี
- ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA): พิจารณาเปิดใช้ 2FA ในบริการใดก็ตามที่กำหนดให้คุณต้องลงชื่อเข้าใช้ 2FA ทำให้แฮ็กเกอร์ลงชื่อเข้าใช้ได้ยากขึ้น แม้ว่าจะขโมยรหัสผ่านของคุณสำเร็จก็ตาม
- อัปเดต CMS, ปลั๊กอิน, ส่วนขยาย และโมดูลเป็นประจำ: หวังว่าคุณจะได้ทำตามขั้นตอนนี้แล้ว ไซต์จำนวนมากถูกแฮ็กเนื่องจาก ใช้ซอฟต์แวร์ที่ล้าสมัย ทั้งนี้ CMS บางระบบรองรับการอัปเดตอัตโนมัติด้วย
- พิจารณาสมัครใช้บริการรักษาความปลอดภัยเพื่อตรวจสอบเว็บไซต์: มีบริการดีๆ มากมายที่ช่วยคุณตรวจสอบเว็บไซต์ได้โดยคิดค่าธรรมเนียมเพียงเล็กน้อย ลองลงทะเบียนกับผู้ให้บริการดังกล่าวเพื่อให้ไซต์ปลอดภัย
แหล่งข้อมูลเพิ่มเติม
มีแหล่งข้อมูลอีกหลายรายการที่อาจช่วยคุณได้ หากคุณยังคงพบปัญหาในการแก้ไขเว็บไซต์
เครื่องมือเหล่านี้จะสแกนไซต์และอาจพบเนื้อหาที่มีปัญหา แต่นอกเหนือจาก VirusTotal แล้ว Google ไม่ใช้หรือรองรับเครื่องมืออื่นใดอีก
นี่เป็นเพียงเครื่องมือบางอย่างที่อาจสแกนเว็บไซต์เพื่อหาเนื้อหาที่เป็นปัญหาได้ โปรดทราบว่าโปรแกรมสแกนเหล่านี้ไม่สามารถรับประกันได้ว่าจะพบเนื้อหาที่มีปัญหาทุกประเภท
ทรัพยากรเพิ่มเติมจาก Google ที่ช่วยคุณได้มีดังนี้