本指南专门针对一种黑客攻击而创建,该攻击会将充斥关键字的乱码页面添加到您的网站,我们将其称为乱码黑客攻击。它专为流行的 内容管理系统 (CMS) 的用户而设计,但即使您不使用 CMS,也会发现本指南很有用。
识别此类黑客攻击
乱码黑客攻击会自动在您的网站上创建许多包含填充关键字的无意义句子的页面。这些是您未创建的页面,但具有可能吸引用户点击的 URL。黑客这样做是为了使被黑页面显示在 Google 搜索中。然后,如果人们尝试访问这些页面,他们将被重定向到不相关的页面。当人们访问这些不相关的页面时,黑客就会赚钱。以下是在受乱码黑客攻击的网站上可能看到的文件类型的一些示例
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
有时它们会出现在由随机字符组成的文件夹中,并使用不同的语言
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
首先检查 Search Console 中的 安全问题 工具,查看 Google 是否在您的网站上发现了任何这些被黑页面。有时,您还可以通过打开 Google 搜索窗口并输入 site:_your site url_(使用您网站的根级别 URL)来发现此类页面。这将向您显示 Google 为您的网站编入索引的页面,包括被黑页面。浏览几个搜索结果页面,看看您是否发现任何异常 URL。如果您在 Google 搜索中没有看到任何被黑内容,请使用相同的搜索词和不同的搜索引擎。以下是示例,展示了其外观
通常,当您点击被黑页面的链接时,您将被重定向到另一个网站,或看到一个充满乱码内容的页面。但是,您也可能会看到一条消息,提示该页面不存在(例如,404 错误)。不要被愚弄!黑客会试图欺骗您,让您认为页面已消失或已修复,但实际上它仍然被黑客入侵。他们通过 隐藏 内容来做到这一点。通过在 URL 检查工具 中输入您网站的 URL 来检查是否隐藏了内容。“Fetch as Google”工具可让您查看底层的隐藏内容。
如果您看到这些问题,则您的网站很可能受到了此类黑客攻击的影响。
修复黑客攻击
在开始之前,在删除任何文件之前,先制作其离线副本,以防以后需要恢复它们。更好的是,在开始清理过程之前备份您的整个网站。您可以通过将服务器上的所有文件保存到服务器外部的位置,或者搜索特定内容管理系统 (CMS) 的最佳备份选项来完成此操作。如果您使用的是 CMS,也请备份数据库。
检查您的 .htaccess 文件(2 步)
乱码黑客攻击使用 .htaccess 文件将访问者从您的网站重定向。
步骤 1
在您的网站上找到您的 .htaccess 文件。如果您不确定在哪里找到它,并且您使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中搜索“.htaccess file location”以及您的 CMS 名称。根据您的网站,您可能会看到多个 .htaccess 文件。列出所有 .htaccess 文件的位置。
步骤 2
将所有 .htaccess 文件替换为 .htaccess 文件的干净或默认版本。您通常可以通过搜索“default .htaccess file”和您的 CMS 名称来找到 .htaccess 文件的默认版本。对于具有多个 .htaccess 文件的网站,找到每个文件的干净版本并替换它们。
如果不存在默认的 .htaccess 文件,并且您从未在您的网站上配置过 .htaccess 文件,那么您在您的网站上找到的 .htaccess 文件可能是恶意的。保存 .htaccess 文件的一个副本以防万一,并从您的网站中删除 .htaccess 文件。
查找并删除其他恶意文件(5 步)
识别恶意文件可能很棘手且耗时。检查文件时请耐心。如果您尚未备份,那么现在是备份您网站上文件的绝佳时机。在 Google 上搜索“back up site”和您的 CMS 名称,以查找有关如何备份您的网站的说明。
步骤 1
如果您使用 CMS,请重新安装 CMS 默认发行版中的所有核心(默认)文件,以及您可能添加的任何内容(例如主题、模块、插件)。这有助于确保这些文件不包含被黑内容。您可以在 Google 上搜索“reinstall”和您的 CMS 名称,以查找重新安装说明。如果您有任何插件、模块、扩展程序或主题,请确保也重新安装它们。
步骤 2
现在您需要查找任何剩余的恶意或受损文件。这是该过程中最困难和最耗时的部分,但在此之后您就快完成了!
这种黑客攻击通常会留下两种类型的文件:.txt 文件和 .php 文件。.txt 文件充当模板文件,而 .php 文件确定要加载到您的网站上的无意义内容的类型。
首先查找 .txt 文件。根据您连接到网站的方式,您应该会看到某种文件搜索功能。搜索“.txt”以调出所有带有 .txt 扩展名的文件。其中大多数将是合法文件,例如许可协议或自述文件。您正在查找一组包含 HTML 代码的 .txt 文件,这些代码用于创建垃圾邮件模板。以下是您可能在这些恶意 .txt 文件中找到的不同代码片段。
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
黑客使用关键字替换来创建垃圾邮件页面。您很可能会看到一些通用词,这些词可以在整个被黑文件中替换。
此外,这些文件中的大多数都包含某种类型的代码,这些代码将垃圾邮件链接和垃圾邮件文本放置在可见页面之外。
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
删除这些 .txt 文件。如果它们都在同一个文件夹中,则删除整个文件夹。
步骤 3
恶意 PHP 文件有点难以追踪。您的网站上可能有一个或多个恶意 PHP 文件。它们可能都包含在同一个子目录中,或者分散在您的网站周围。
不要因为认为需要打开并查看每个 PHP 文件而感到不知所措。首先创建一个您要调查的可疑 PHP 文件列表。以下是一些确定哪些 PHP 文件可疑的方法
- 因为您已经重新加载了 CMS 文件,所以只查看不属于您的默认 CMS 文件或文件夹的文件。这应该消除大量 PHP 文件,并让您只剩下少量文件需要查看。
- 按上次修改日期对您网站上的文件进行排序。查找在您首次发现您的网站被黑客入侵后几个月内修改过的文件。
- 按大小对您网站上的文件进行排序。查找任何异常大的文件。
步骤 4
一旦您有了可疑 PHP 文件列表,请检查它们是否是恶意的。如果您不熟悉 PHP,此过程可能会更耗时,因此请考虑复习一些 PHP 文档。如果您是编码新手,我们建议 寻求帮助。同时,您可以查找一些基本模式来识别恶意文件。
如果您使用 CMS,并且不习惯直接编辑这些文件,请将您服务器上的文件与 CMS 以及任何插件和主题随附的默认文件列表进行比较。查找不属于的文件,以及大于其默认版本的文件。
首先,扫描您已识别的可疑文件,以查找包含看似乱码的字母和数字组合的大文本块。大文本块通常以 PHP 函数组合开头,例如 base64_decode、rot13、eval、strrev 或 gzinflate。以下是该代码块可能的外观示例。有时,所有这些代码都将被塞进一行长文本中,使其看起来比实际更小。
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
有时代码并不混乱,看起来就像普通脚本。如果您不确定代码是否恶意,请访问我们的 Google Search Central 帮助社区,那里有一群经验丰富的网站管理员可以帮助您查看文件。
步骤 5
现在您知道哪些文件是可疑的,请通过将它们保存在您的计算机上创建备份或本地副本,以防任何文件不是恶意的,并从您的网站中删除可疑文件。
检查您的网站是否干净
一旦您完成删除被黑文件,请检查您的辛勤工作是否得到了回报。还记得您之前识别出的那些乱码页面吗?再次在它们上使用“Fetch as Google”工具,看看它们是否仍然存在。如果它们在“Fetch as Google”中响应为“未找到”,那么您很可能情况良好,可以继续修复您网站上的漏洞。
如何防止再次被黑客入侵?
修复您网站上的漏洞是修复您网站的必要最后一步。最近一项研究发现,20% 的被黑网站会在一天内再次被黑客入侵。确切了解您的网站是如何被黑客入侵的很有帮助。阅读我们的 网站被垃圾邮件发送者入侵的主要方式 指南,开始您的调查。但是,如果您无法弄清楚您的网站是如何被黑客入侵的,以下是您可以采取的减少您网站漏洞的措施清单
- 定期扫描您的计算机: 使用任何流行的病毒扫描程序检查病毒或漏洞。
- 定期更改您的密码: 定期更改您所有网站帐户(如您的托管服务提供商、FTP 和 CMS)的密码可以防止未经授权访问您的网站。为每个帐户创建一个强而唯一的密码非常重要。
- 使用 双重身份验证 (2FA): 考虑在任何需要您登录的服务上启用 2FA。即使黑客成功窃取了您的密码,2FA 也会使黑客更难登录。
- 定期更新您的 CMS、插件、扩展程序和模块: 希望您已经完成了这一步。许多网站被黑客入侵是因为它们运行过时的软件。一些 CMS 支持自动更新。
- 考虑订阅安全服务来监控您的网站: 有很多很棒的服务可以帮助您以少量费用监控您的网站。考虑向他们注册以确保您的网站安全。
其他资源
如果您仍然在修复您的网站时遇到问题,还有一些其他资源可能会对您有所帮助。
这些工具扫描您的网站,并且可能能够找到有问题的内容。除了 VirusTotal 之外,Google 不运行或支持它们。
这些只是一些可能能够扫描您的网站以查找有问题内容的工具。请记住,这些扫描程序不能保证它们会识别每种类型的有问题内容。
以下是 Google 提供的其他资源,可以帮助您