修正日文關鍵字植入問題

本指南旨在協助您瞭解如何在網站上產生自動產生的日文文字 (我們稱之為日文關鍵字駭客)。內容管理系統 (CMS) 的使用者皆能參考本指南。不過,即使您並未使用 CMS,本指南仍提供了十分實用的資訊。

我們希望確保這份指南對您有幫助。歡迎提供意見,協助我們改善服務品質!

辨識這類入侵行為

日文關鍵字攻擊通常會以隨機產生的目錄名稱 (例如 http://example.com/ltjmnjp/341.html) 在您的網站上,建立含有自動產生的日文新網頁。這類網頁會透過聯盟連結連至販售假品牌商品的商店,並顯示在 Google 搜尋中。這類網頁的外觀可能如下:

含有日文關鍵字入侵的網頁範例。
日本關鍵字駭客行為產生的一段文字。

從事這類駭客攻擊時,駭客通常會在 Search Console 中將自己新增為資源擁有者,進而操縱您網站的設定 (例如指定地理區域或 Sitemap),藉此增加利潤。 如果系統通知您,有不明人士在 Search Console 中驗證了您的網站,很可能是您的網站遭到入侵。

首先請查看 Search Console 中的安全性問題工具,查看 Google 是否在您的網站上找到任何這類遭到入侵的網頁。開啟 Google 搜尋視窗並輸入 site:_your site url_ 並加入網站的根層級網址,有時也能找出這類網頁。您網站上已經由 Google 建立索引的網頁都會顯示,包括遭到入侵的網頁。請瀏覽搜尋結果中的一些網頁,看看有無任何不尋常的網址。如果您在 Google 搜尋中找不到遭到入侵的內容,請使用其他搜尋引擎輸入相同的搜尋字詞。如下所示:

搜尋中遭到入侵的網站範例。
遭入侵的網頁會顯示在 Google 搜尋結果中。

一般而言,當您點選遭入侵網頁的連結時,系統會將您重新導向至其他網站,或是顯示充斥胡言亂語內容的網頁。不過,您可能也會看到表示網頁不存在的訊息 (例如 404 錯誤)。別上當!駭客會設法誘騙您想像網頁已經移除,或者網頁仍遭到入侵。這種做法稱為偽裝內容。在網址檢查工具中輸入網站網址,查看是否有偽裝內容。Google 模擬器工具可讓您查看基本的隱藏內容。

如果發現這些問題,表示您的網站很可能受到這類駭客攻擊的影響。

修正入侵問題

首先,請先為任何檔案建立離線副本,再移除檔案,以防日後需要還原檔案。您甚至可以先備份整個網站,再開始執行清理程序。如要這麼做,可以將位於您伺服器上的所有檔案儲存到離您伺服器上的位置,或搜尋您的內容管理系統 (CMS) 適用的最佳備份選項。如果您使用 CMS,也請備份資料庫。

將新建立的帳戶從 Search Console 中移除

如有您不認得的新擁有者已加入您的 Search Console 帳戶,請盡快撤銷對方的存取權。您可以前往 Search Console 驗證頁面查看網站上有哪些使用者通過驗證。按一下網站的「驗證詳細資料」,即可查看所有已驗證的使用者。

如要從 Search Console 移除擁有者,請參閱管理使用者、擁有者和權限說明中心的「移除擁有者」一節。您必須移除相關聯的驗證權杖 (通常是位於網站根目錄的 HTML 檔案,或是動態產生的 .htaccess 檔案模仿 HTML 檔案)。

在網站上找不到 HTML 驗證權杖時,請檢查 .htaccess 檔案中的重新編寫規則。重新寫入規則看起來會像這樣:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

如要從 .htaccess 檔案移除動態產生的驗證權杖,請按照下列步驟操作:

檢查 .htaccess 檔案 (2 個步驟)

除了使用 .htaccess 檔案建立動態產生的驗證權杖之外,駭客也常使用 .htaccess 規則將使用者重新導向或建立胡言亂語的垃圾網頁。除非您有自訂 .htaccess 規則,否則請考慮用全新的副本取代 .htaccess

步驟 1

在網站上找出 .htaccess 檔案。如果您不確定所在位置,且使用的是 WordPress、Joomla 或 Drupal 等 CMS,請在搜尋引擎中搜尋「.htaccess 檔案位置」,並加上您的 CMS 名稱。視您的網站而定,您可能會看到多個 .htaccess 檔案。 列出全部 .htaccess 個檔案位置的清單。

步驟 2

將所有 .htaccess 檔案替換為乾淨或預設版本的 .htaccess 檔案。一般來說,只要搜尋「default .htaccess file」和 CMS 名稱,即可找到預設版本的 .htaccess 檔案。如果網站有多個 .htaccess 檔案,請找出每個檔案的乾淨版本,然後替換這些檔案。

如果沒有預設的 .htaccess,且您從未在網站上設定 .htaccess 檔案,那麼您在網站上找到的 .htaccess 檔案可能是惡意檔案。離線儲存 .htaccess 檔案副本,以防萬一,並且從網站中刪除 .htaccess 檔案。

移除所有惡意檔案和指令碼 (4 個步驟)

找出惡意檔案並不容易,也相當耗時。請花點時間檢查檔案。如果您尚未備份網站上的檔案,不妨趁此機會備份。請透過 Google 搜尋「備份網站」和您的 CMS 名稱,尋找備份網站的操作說明。

步驟 1

如果您使用 CMS,請重新安裝預設 CMS 版本內含的所有核心 (預設) 檔案,以及新增的任何內容 (例如主題、模組或外掛程式)。這有助於確保這些檔案不含任何遭入侵的內容。您可以透過 Google 搜尋「重新安裝」和您的 CMS 名稱,尋找重新安裝程序的操作說明。如果您有任何外掛程式、模組、擴充功能或主題,請務必一併重新安裝。

步驟 2

駭客通常會修改您的 Sitemap 或新增 Sitemap,讓網址更快編入索引。如果您先前有 Sitemap 檔案,請檢查檔案是否有任何可疑連結,並將其從 Sitemap 中移除。如果發現網站上有您不記得的 Sitemap 檔案,請仔細檢查這些檔案。如果其中包含垃圾網址,請加以移除。

步驟 3

尋找任何其他惡意或遭入侵的檔案。您可能已經移除以上兩個步驟中的所有惡意檔案,但我們建議您執行後續幾個步驟,以免網站上還有更多檔案遭到入侵。

請別誤以為您必須開啟並檢查每個 PHP 檔案。首先,請建立您要調查的可疑 PHP 檔案清單。判別可疑的 PHP 檔案時,可以採用以下這些方法:

  • 如果您已重新載入 CMS 檔案,請只查看不屬於預設 CMS 檔案或資料夾的檔案。這麼做可以排除許多 PHP 檔案 只剩一些檔案需要檢視。
  • 依上次修改日期排序您網站上的檔案,找出修改時間與您首次發現網站遭到入侵的時間不到幾個月的檔案。
  • 依大小排序您網站上的檔案,找出所有特別大的檔案。

步驟 4

建立可疑 PHP 檔案清單後,請檢查這些檔案是否有惡意內容。如果您對 PHP 不熟悉,可能需要花費更多時間,因此不妨先溫習一些 PHP 說明文件。如果您還不熟悉程式設計,建議取得協助。 在此同時,您可以尋找一些有助於找出惡意檔案的基本模式。

如果您使用 CMS,且不習慣直接編輯 PHP 檔案,請比較伺服器上的檔案與 CMS 封裝的預設檔案清單,以及任何外掛程式和主題。尋找不屬於的檔案,以及大於預設版本的檔案。

掃描您已找出的可疑檔案,找出經過模糊處理的程式碼區塊。這看起來可能像是雜亂的字母和數字組合,開頭通常為 base64_decoderot13evalstrrevgzinflate 等 PHP 函式的組合。以下為程式碼區塊的範例。有時這類程式碼會全部包進一長串文字,看起來比實際上小。

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

檢查網站是否乾淨

清理完遭到入侵的檔案後,請檢查您的努力是否成功。還記得您之前找到的充斥胡言亂語網頁嗎?請再次使用 Google 模擬器工具,確認這些文字是否仍然存在。如果 Google 模擬器傳回「找不到」回應,表示您的網站應該沒問題了!

如何避免再次遭到入侵?

修正網站的安全漏洞是修正網站問題的最後一步,也是重要的一步。近期研究發現,遭入侵的網站中有 20% 會在一天內再次遭到入侵。因此,確切瞭解網站遭到入侵的方式實在很有幫助。請詳閱垃圾內容發布者入侵網站的常見方式指南,展開調查。不過,如果您無法找出網站遭到入侵的方式,請參考以下檢查清單,瞭解如何減少網站的安全漏洞。

  • 定期掃描電腦:使用任何常見的病毒掃描工具檢查病毒或安全漏洞。
  • 定期變更密碼:定期變更您所有網站帳戶 (例如代管服務供應商、FTP 和 CMS) 的密碼可防止他人在未經授權的情況下存取您的網站。請務必為每個帳戶建立不重複的高強度密碼
  • 使用雙重驗證 (2FA)建議您為所有需要登入的服務啟用 2FA。這樣一來,即使駭客成功竊取您的密碼,仍然難以登入帳戶。
  • 定期更新 CMS、外掛程式、擴充功能和模組:希望您已經完成這個步驟。許多網站之所以遭到入侵 是因為其執行的軟體版本過舊部分 CMS 支援自動更新功能。
  • 考慮訂閱安全性服務,協助您監控網站:有許多優質服務可協助您監控網站,且費用不高。建議你註冊這類服務,確保你的網站安全無虞。

其他資源

如果您仍然無法順利修正網站問題,還有另一些資源可能對您有所幫助。

這些工具會掃描您的網站,並可能發現有問題的內容。 不過,除了 VirusTotal Google 提供的工具,Google 並未對其他工具提供支援。

這些工具只是可協助您掃描網站,找出有問題的內容。請記得,這些掃描工具不一定能成功辨識所有類型的問題內容。

Google 另外提供了以下資源,可能對您有所幫助: