修复日文关键词黑客攻击

本指南专门为一种黑客攻击创建,该黑客攻击会在你的网站上创建自动生成的日文文本,我们将其称为日文关键词黑客攻击。它专为流行的 内容管理系统 (CMS) 的用户设计,但即使你不使用 CMS,你也会发现本指南很有用。

识别此类黑客攻击

日文关键词黑客攻击通常会在你的网站上使用随机生成的目录名称(例如,http://example.com/ltjmnjp/341.html)创建包含自动生成的日文文本的新页面。这些页面通过联盟链接到销售假冒品牌商品的商店来获利,然后在 Google 搜索中显示。以下是其中一个页面的外观示例

An example of a page with the Japanese keyword hack.
由日文关键词黑客攻击生成的文本页面。

对于这种类型的黑客攻击,黑客通常会将自己添加为 Search Console 中的资源所有者,以通过操纵你网站的设置(如地理位置定位或站点地图)来增加利润。如果你收到通知,告知你不认识的人已在 Search Console 中验证了你的网站,则你的网站很有可能已被黑客入侵。

首先检查 Search Console 中的安全问题工具,看看 Google 是否在你的网站上发现了任何这些被黑客入侵的页面。有时,你还可以通过打开 Google 搜索窗口并键入 site:_你的网站网址_(使用你网站的根级别网址)来发现此类页面。这将向你显示 Google 已为你网站编制索引的页面,包括被黑客入侵的页面。翻阅几页搜索结果,看看你是否发现任何异常网址。如果你在 Google 搜索中没有看到任何被黑客入侵的内容,请使用相同的搜索词和不同的搜索引擎。以下是外观示例

An example of a hacked site in search.
被黑客入侵的页面显示在 Google 搜索结果中。

通常,当你点击被黑客入侵页面的链接时,你将被重定向到另一个网站,或者看到一个充满乱码内容的页面。但是,你也可能会看到一条消息,提示该页面不存在(例如,404 错误)。不要被愚弄了!黑客会试图欺骗你,让你认为页面已消失或已修复,但实际上它仍然被黑客入侵。他们通过隐藏真实内容来做到这一点。通过在网址检查工具中输入你网站的网址来检查隐藏真实内容。Fetch as Google 工具可让你查看底层的隐藏内容。

如果你看到这些问题,你的网站很可能已受到此类黑客攻击的影响。

修复黑客攻击

在开始之前,在删除任何文件之前制作脱机副本,以防你需要稍后恢复它们。更好的是,在开始清理过程之前备份你的整个网站。你可以通过将服务器上的所有文件保存到服务器外的某个位置,或者搜索适用于你的特定内容管理系统 (CMS) 的最佳备份选项来做到这一点。如果你使用的是 CMS,还要备份数据库。

从 Search Console 中删除新创建的帐号

如果已将你不认识的新所有者添加到你的 Search Console 帐号,请尽快撤销他们的访问权限。你可以在Search Console 验证页面上查看哪些用户已通过你网站的验证。点击网站的“验证详细信息”以查看所有已验证的用户。

要从 Search Console 中删除所有者,请参阅管理用户、所有者和权限帮助中心的“删除所有者”部分。你需要删除关联的验证令牌,该令牌通常是网站根目录上的 HTML 文件或动态生成的 .htaccess 文件(模仿 HTML 文件)。

如果你的网站上找不到 HTML 验证令牌,请检查你的 .htaccess 文件中是否有重写规则。重写规则将类似于这样

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

要从你的 .htaccess 文件中删除动态生成的验证令牌,请按照以下步骤操作

检查你的 .htaccess 文件(2 个步骤)

除了使用 .htaccess 文件创建动态生成的验证令牌外,黑客还经常使用 .htaccess 规则来重定向用户或创建乱码垃圾网页。除非你有自定义的 .htaccess 规则,否则请考虑将你的 .htaccess 替换为全新的副本。

步骤 1

在你的网站上找到你的 .htaccess 文件。如果你不确定在哪里找到它,并且你使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中搜索“.htaccess 文件位置”以及你的 CMS 名称。根据你的网站,你可能会看到多个 .htaccess 文件。列出所有 .htaccess 文件位置。

步骤 2

将所有 .htaccess 文件替换为 .htaccess 文件的干净或默认版本。你通常可以通过搜索“默认 .htaccess 文件”和你的 CMS 名称来找到 .htaccess 文件的默认版本。对于具有多个 .htaccess 文件的网站,找到每个文件的干净版本并替换它们。

如果不存在默认 .htaccess 并且你从未在你的网站上配置过 .htaccess 文件,则你在你的网站上找到的 .htaccess 文件可能是恶意的。脱机保存 .htaccess 文件副本(以防万一),然后从你的网站中删除 .htaccess 文件。

删除所有恶意文件和脚本(4 个步骤)

识别恶意文件可能很棘手且耗时。检查文件时请耐心。如果你尚未备份,现在是备份网站上文件的好时机。在 Google 上搜索“备份网站”和你的 CMS 名称,以查找有关如何备份网站的说明。

步骤 1

如果你使用 CMS,请重新安装 CMS 的默认发行版中的所有核心(默认)文件,以及你添加的任何内容(例如主题、模块或插件)。这有助于确保这些文件没有被黑客入侵的内容。你可以在 Google 上搜索“重新安装”和你的 CMS 名称,以查找重新安装说明。如果你有任何插件、模块、扩展程序或主题,请确保也重新安装这些内容。

步骤 2

黑客通常会修改你的站点地图或添加新的站点地图,以帮助更快地索引他们的网址。如果你以前有一个站点地图文件,请检查该文件是否有任何可疑链接,并从你的站点地图中删除它们。如果有任何你不记得添加到你的网站的站点地图文件,请仔细检查它们,如果它们仅包含垃圾网址,请删除它们。

步骤 3

查找任何其他恶意或受感染的文件。你可能已经在前两个步骤中删除了所有恶意文件,但最好完成接下来的几个步骤,以防你的网站上还有更多受感染的文件。

不要因为认为你需要打开并查看每个 PHP 文件而感到不知所措。首先创建一个你要调查的可疑 PHP 文件列表。以下是一些确定哪些 PHP 文件可疑的方法

  • 如果你已经重新加载了你的 CMS 文件,则仅查看不属于你的默认 CMS 文件或文件夹的文件。这应该排除很多 PHP 文件,并为你留下一小部分文件供查看。
  • 按上次修改日期对你网站上的文件进行排序。查找在你首次发现你的网站被黑客入侵后的几个月内修改的文件。
  • 按大小对你网站上的文件进行排序。查找任何异常大的文件。

步骤 4

创建可疑 PHP 文件列表后,检查它们是否包含恶意内容。如果你不熟悉 PHP,此过程可能更耗时,因此请考虑复习一些 PHP 文档。如果你是编码新手,我们建议寻求帮助。同时,你可以查找一些基本模式来识别恶意文件。

如果你使用 CMS,并且不习惯直接编辑其 PHP 文件,请将服务器上的文件与 CMS 及其任何插件和主题随附的默认文件列表进行比较。查找不属于默认文件的文件,以及大于其默认版本的文件。

扫描你已识别的可疑文件,以查找混淆代码块。这可能看起来像是看似混乱的字母和数字的组合,通常以 PHP 函数(如 base64_decoderot13evalstrrevgzinflate)的组合开头。以下是代码块可能的外观示例。有时,所有这些代码都将塞进一行长文本中,使其看起来比实际小。

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

检查你的网站是否干净

完成删除被黑客入侵的文件后,检查你的辛勤工作是否得到了回报。还记得你之前识别的那些乱码页面吗?再次在它们上使用 Fetch as Google 工具,看看它们是否仍然存在。如果它们在 Fetch as Google 中响应为“未找到”,则表示你情况良好,可以继续修复你网站上的漏洞。

如何防止再次被黑客入侵?

修复网站上的漏洞是修复网站的必要最后一步。最近一项研究发现,20% 的被黑客入侵的网站会在一天内再次被黑客入侵。确切了解你的网站是如何被黑客入侵的很有帮助。阅读我们的网站被垃圾邮件发送者黑客入侵的主要方式指南,开始你的调查。但是,如果你无法弄清楚你的网站是如何被黑客入侵的,以下是你为减少网站漏洞可以做的事情清单。

  • 定期扫描你的计算机: 使用任何流行的病毒扫描程序检查病毒或漏洞。
  • 定期更改你的密码: 定期更改你的所有网站帐户(如你的托管服务提供商、FTP 和 CMS)的密码可以防止未经授权访问你的网站。为每个帐户创建一个强而独特的密码非常重要。
  • 使用双重身份验证 (2FA) 考虑在任何需要你登录的服务上启用 2FA。即使黑客成功窃取了你的密码,2FA 也使他们更难登录。
  • 定期更新你的 CMS、插件、扩展程序和模块: 希望你已经完成了这一步。许多网站被黑客入侵是因为它们运行的是过时的软件。某些 CMS 支持自动更新。
  • 考虑订阅安全服务来监控你的网站: 有许多很棒的服务可以帮助你以少量费用监控你的网站。考虑注册它们以确保你的网站安全。

其他资源

如果你在修复网站时仍然遇到问题,则还有一些其他资源可能会帮助你。

这些工具会扫描你的网站,并且可能能够找到有问题的内容。除了 VirusTotal,Google 不运行或支持它们。

这些只是一些可能能够扫描你的网站以查找有问题的内容的工具。请记住,这些扫描程序不能保证它们会识别每种类型的有问题的内容。

以下是 Google 提供的其他资源,可以帮助你