本指南适用于一种会在您的网站上自动生成日语文本的黑客行为,我们将其称为日语关键字黑客行为。本指南是为常用内容管理系统 (CMS) 的用户设计的,但如果您的网站未使用 CMS,您仍然会发现本指南很有用。
识别此类黑客行为
日语关键字黑客行为通常会使用自动生成的日语文本在您的网站上随机生成的目录名中创建新网页(例如,http://example.com/ltjmnjp/341.html)。这些网页会利用指向出售冒牌商品的商店的联属营销链接获利,随后亦会显示在
Google 搜索结果中。以下是其中一个网页的示例:
对于此类黑客行为,黑客通常会在 Search Console 中将自己添加为资源所有者,以便通过操纵网站的设置(例如地理位置定位或站点地图)来增加利润。 如果您收到通知,告知您有陌生人已 在 Google Search Console 中验证了您的网站,则您的网站很可能已遭到黑客入侵。
首先,请检查 Search Console 中的
“安全问题”
工具,看看 Google 是否已在您的网站上发现任何此类被黑网页
。有时,您还可以通过打开 Google 搜索窗口并输入 site:_your site url_(其中包含您网站的根级网址)来发现此类网页。这会显示 Google 为您的网站编入索引的网页,包括被黑网页。翻阅几个搜索结果网页,看看是否发现任何异常网址。如果您在 Google 搜索中没有看到任何被黑内容,请使用相同的搜索字词在其他搜索引擎中进行搜索。以下是示例:
通常,当您点击指向被黑网页的链接时,系统会将您重定向到其他网站,或者您会看到一个充满乱码内容的网页。不过,您也可能会看到一条消息,提示该网页不存在(例如,404 错误)。不要被骗了!黑客会试图让您误以为网页已消失或已修复,但实际上网页仍然被黑。他们通过 伪装真实内容 来实现这一点。如需检查是否存在伪装,请在 网址检查工具中输入您网站的网址。借助此工具,您可以查看隐藏的内容。
如果您看到这些问题,则您的网站很可能受到了此类黑客行为的影响。
修复黑客行为
在开始之前,请先制作所有文件的离线副本,然后再移除这些文件,以防日后需要恢复它们。最好在开始清理过程之前备份整个网站。为此,您可以将服务器上的所有文件保存到服务器以外的位置,或者搜索适用于特定内容管理系统 (CMS) 的最佳备份选项。如果您使用的是 CMS,请同时备份数据库。
从 Search Console 中移除新建的账号
如果您的 Search Console 账号中添加了您不认识的新所有者,请尽快撤消其访问权限。您可以在 Search Console 验证页面上查看哪些用户 已通过网站验证。 点击网站的“验证详细信息”,即可查看所有已验证的用户。
如需从 Search Console 中移除所有者,请参阅管理用户、所有者和权限帮助中心的“移除所有者”部分。您需要移除关联的验证令牌,该令牌通常是网站根目录中的 HTML 文件,或者是模仿 HTML 文件动态生成的 .htaccess 文件。
如果您在网站上找不到 HTML 验证令牌,请检查 .htaccess 文件中是否存在重写规则。重写规则类似于以下内容:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
如需从 .htaccess 文件中移除动态生成的验证令牌,请按以下步骤操作:
检查 .htaccess 文件(2 个步骤)
除了使用 .htaccess 文件创建动态生成的验证令牌之外,黑客还经常使用 .htaccess 规则来重定向用户或创建乱码垃圾网页。除非您有自定义 .htaccess 规则,否则请考虑将 .htaccess 替换为全新的副本。
第 1 步
在您的网站上找到 .htaccess 文件。如果您不确定在哪里找到该文件,并且使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中搜索“.htaccess 文件位置”以及您的 CMS 的名称。
根据您的网站,您可能会看到多个 .htaccess 文件。
列出所有 .htaccess 文件的位置。
第 2 步
将所有 .htaccess 文件替换为 .htaccess 文件的干净版本或默认版本。您通常可以通过搜索“默认 .htaccess 文件”和您的 CMS 的名称来找到 .htaccess 文件的默认版本。对于有多个 .htaccess 文件的网站,请找到每个文件的干净版本并进行替换。
如果不存在默认 .htaccess,并且您从未在网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件很可能是恶意文件。请将 .htaccess 文件保存到离线位置,以防万一,然后从网站中删除 .htaccess 文件。
移除所有恶意文件和脚本(4 个步骤)
识别恶意文件可能很棘手且耗时。请花时间检查文件。如果您尚未备份网站上的文件,现在是备份的好时机。请在 Google 搜索中搜索“备份网站”和您的 CMS 的名称,以查找有关如何备份网站的说明。
第 1 步
如果您使用 CMS,请重新安装 CMS 默认分发版中的所有核心(默认)文件,以及您添加的所有内容(例如主题、模块或插件)。这有助于确保这些文件不包含被黑内容。您可以在 Google 搜索中搜索“重新安装”和您的 CMS 名称,以查找重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必重新安装这些内容。
第 2 步
黑客通常会修改您的站点地图或添加新的站点地图,以便更快地为其网址编入索引。如果您之前有站点地图文件,请检查该文件是否存在任何可疑链接并将其移除。如果您不记得向网站添加了任何站点地图文件,请查看该文件。如果该文件仅包含垃圾网址,请将其移除。
第 3 步
查找任何其他恶意文件或受感染的文件。您可能已在前两个步骤中移除了所有恶意文件,但最好完成接下来的几个步骤,以防网站上还有其他文件受到感染。
不要因为认为需要打开并查看每个 PHP 文件而感到不知所措。首先,创建一个您要调查的可疑 PHP 文件列表。以下是一些确定哪些 PHP 文件可疑的方法:
- 如果您已重新加载 CMS 文件,请仅查看不属于默认 CMS 文件或文件夹的文件。这应该会排除许多 PHP 文件,并让您只剩下少数几个文件需要查看。
- 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站被黑后的几个月内修改的文件。
- 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。
第 4 步
获得可疑 PHP 文件列表后,请检查这些文件是否存在恶意内容。 如果您不熟悉 PHP,此过程可能需要更多时间, 因此请考虑复习一些 PHP 文档。 如果您是编码新手,建议您与经验丰富的开发者交流。同时,您可以查找一些基本模式来识别恶意文件。
如果您使用 CMS,并且不习惯直接修改其 PHP 文件,请将服务器上的文件与 CMS 随附的默认文件列表以及任何插件和主题进行比较。查找不属于默认文件的文件,以及大于默认版本的文件。
扫描您已识别的可疑文件,查找混淆的代码块。这可能看起来像是看似杂乱的字母和数字的组合,通常以 base64_decode、rot13、eval、strrev 或 gzinflate 等 PHP 函数的组合开头。以下是代码块的示例。有时,所有这些代码都会塞到一行长文本中,使其看起来比实际要小。
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
检查您的网站是否干净
移除被黑文件后,请检查您的辛勤工作是否得到了回报。还记得您之前识别的那些乱码网页吗?再次对它们使用“Google 抓取方式”工具,看看它们是否仍然存在。
如果它们在“Google 抓取方式”中响应为“未找到”,则表示您的情况相当不错,可以继续修复网站上的漏洞。
如何防止再次遭到入侵?
修复网站上的漏洞是修复网站的必要最后一步。最近的一项研究发现,20% 的被黑网站会在一天内再次被黑。了解网站遭到入侵的具体方式非常有用。请阅读我们的 网站被垃圾内容发布者入侵的主要方式 指南,开始调查。如果您无法确定网站被黑的方式,请按照此清单操作,以减少网站上的漏洞。
- 定期扫描计算机:使用常用的杀毒软件检查 病毒或漏洞。
- 定期更改密码:定期更改 所有网站账号(例如托管服务提供商、FTP 和 CMS)的密码,可以 防止未经授权的用户访问您的网站。请务必为每个账号创建安全且唯一的密码。
- 使用 两步验证 (2FA): 考虑在任何需要您登录的服务上启用 2FA。这样一来,即使黑客成功窃取您的密码,也很难登录。
- 定期更新 CMS、插件、扩展程序和模块: 希望您已经完成了这一步。许多网站之所以被黑,是因为它们运行的是过时的软件。某些内容管理系统支持自动更新功能。
- 考虑订阅安全服务来监控您的网站: 许多服务都可以帮助您监控网站,只需支付少量 费用。请考虑注册这些服务,以确保网站安全。
其他资源
如果您在修复网站时仍然遇到问题,可以参考以下其他资源。
这些工具会扫描您的网站,并可能会找到有问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。
这些工具只是可能能够扫描您的网站以查找有问题的内容。请注意,这些扫描器无法保证能够识别每种类型的问题内容。
下面是 Google 提供的可为您提供帮助的其他资源: