修正伪装真实内容的关键字和链接黑客行为

本指南专门针对的是一种向您的网站添加大量关键字乱码网页的黑客行为,我们称之为“伪装真实内容的关键字和链接黑客行为”。我们专门针对热门内容管理系统 (CMS) 的用户设计了本指南;但即使您并未使用 CMS,本指南也会对您有所帮助。

我们希望确保本指南确实对您有所帮助。 留言反馈,帮助我们改进!

识别此类黑客行为

隐藏真实内容的关键字和链接黑客行为会使用无意义的文本、链接和图片自动创建许多网页。这些网页有时会包含原始网站的基本模板元素,因此乍看之下,这些网页可能看起来像是您网站的正常部分,除非您阅读内容。

创建被黑网页的目的是操纵 Google 的排名因素。黑客通常会试图通过将被黑网页上的链接出售给不同的第三方来牟利。通常,被黑网页还会将访问者重定向到不相关的网页,黑客可从这里获得收入。

首先,请检查 Search Console 中的安全问题工具,看看 Google 是否在您的网站上发现了上述任何被黑网页。有时,您也可以通过打开 Google 搜索窗口并输入 site:_your site url_(使用您网站的根级网址)来发现此类网页。系统会显示 Google 已针对您的网站编入索引的网页,包括被黑网页。您可以翻阅几页搜索结果,看看能否发现任何异常网址。如果您在 Google 搜索中没有看到任何被黑内容,请使用其他搜索引擎搜索相同的搜索字词。如下所示:

这种黑客行为生成的搜索结果。
被黑网页会显示在 Google 搜索结果中。

通常情况下,当您点击指向被黑网页的链接时,要么会被重定向到其他网站,要么会看到满是乱码内容的网页。不过,您可能还会看到一条表明网页不存在的消息(例如 404 错误)。别被骗了!如果网页仍然被黑,黑客会试图诱使您认为相应网页已消失或修复。为此,他们会隐藏真实内容。在网址检查工具中输入您网站的网址,检查是否存在隐藏真实内容的问题。借助“Google 抓取方式”工具,您可以查看潜在的隐藏内容。

如果您看到这些问题,则表明您的网站很可能受到了此类黑客行为的影响。

这种黑客行为所创建的示例网页。
利用这种黑客手段创建的网页示例。

解决黑客入侵问题

开始之前,请先为任何文件创建离线副本,然后再将其移除,以备日后需要恢复这些文件时使用。在开始执行清理流程之前,最好先备份您的整个网站。为此,您可以将服务器上的所有文件保存到服务器之外的位置,或搜索最适合您的特定内容管理系统 (CMS) 的备份选项。如果您使用的是 CMS,还请备份数据库。

检查您的 .htaccess 文件(3 个步骤)

隐藏真实内容的关键字和链接黑客行为会使用您的 .htaccess 文件在您的网站上自动创建隐藏真实内容的网页。建议您先熟悉 Apache 官方网站上的 .htaccess 基础知识,以便更好地了解黑客行为对您的网站有何影响,但这并非强制要求。

第 1 步

在您的网站上找到 .htaccess 文件。如果您不确定在哪里可以找到该文件,并且使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中同时搜索“.htaccess 文件位置”以及您所用的 CMS 的名称。您可能会看到多个 .htaccess 文件,具体取决于您的网站。列出所有 .htaccess 文件位置。

第 2 步

打开 .htaccess 文件以查看文件中的内容。查找如下所示的一行代码:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

此行中的变量可能会变化。cj2fatobeornottobe 可以是字母或字词的任意组合。重要的是找出此行中引用的 .php

记下 .htaccess 文件中提到的 .php 文件。在本例中,.php 文件名为 injected_file.php,但实际上文件名并不那么明显。它通常是一组随机的无害字词,例如 horsekeys.phppotatolake.php。这可能是一个恶意的 .php 文件,我们稍后需要跟踪并移除该文件。

第 3 步

将所有 .htaccess 文件替换为 .htaccess 文件的简洁版本或默认版本。您通常可以通过搜索“默认 .htaccess 文件”和您的 CMS 的名称找到 .htaccess 文件的默认版本。对于具有多个 .htaccess 文件的网站,请找到每个文件的干净版本,然后进行替换。

如果不存在默认 .htaccess,并且您从未在网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件可能是恶意文件。离线保存 .htaccess 文件的副本,以防万一来自您的网站。

查找并移除其他恶意文件(5 个步骤)

识别恶意文件可能既复杂又耗时。请检查文件时不要着急。如果您尚未备份网站上的文件,这便是备份的好时机。在 Google 中搜索“备份网站”以及您 CMS 的名称,以查找有关如何备份网站的说明。

第 1 步

如果您使用 CMS,请重新安装 CMS 默认分发中附带的所有核心(默认)文件,以及您可能添加的任何内容(例如主题、模块、插件)。这有助于确保这些文件中不含被黑内容。您可以在 Google 上搜索“重新安装”,并加上您的 CMS 名称,以查找重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必也重新安装这些内容。

第 2 步

首先查找您之前在 .htaccess 文件中标识的 .php 文件。根据您访问服务器上文件的方式,您应该具有某种类型的搜索功能。搜索恶意文件名。如果找到了该文件,请先创建备份副本并将其存储在其他位置,以备需要恢复时使用,然后从网站上将其删除。

第 3 步

查找任何剩余的恶意文件或被盗用的文件。您可能在前两个步骤中已经移除了所有恶意文件,但我们建议您完成接下来的几个步骤,以防网站上存在更多遭到入侵的文件。

不要因为认为需要打开并查看每个 PHP 文件而感到太大压力。首先,请创建您要调查的可疑 PHP 文件的列表。以下几种方法可用于确定哪些 PHP 文件可疑:

  • 如果您已重新加载 CMS 文件,请只查看不属于默认 CMS 文件或文件夹的文件。这样应该可以排除大量 PHP 文件,而只需检查少数文件。
  • 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站遭到入侵后的几个月内遭到修改的文件。
  • 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。

第 4 步

创建好可疑 PHP 文件的列表后,请检查这些文件是否是恶意文件。如果您对 PHP 文件不熟悉,该流程可能会消耗更多时间,因此不妨重温一些 PHP 文档。如果您是刚开始接触编码,建议您获取帮助。在此期间,您可以寻找一些基本模式来识别恶意文件。

如果您使用 CMS,并且没有直接修改这些文件的习惯,请将服务器上的文件与随 CMS 以及任何插件和主题打包的默认文件列表进行比较。查找不应包含的文件以及大于默认版本的文件。

首先,扫描您已经找到的可疑文件,以查找包含看似混乱的字母和数字组合的大型文本块。大型文本块的前面通常是 base64_decoderot13evalstrrevgzinflate 等 PHP 函数组合。下面的示例展示了该代码块可能是什么样子。有时,所有此类代码都会被填充到一长串文本中,使其看起来小于实际大小。

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

有时,代码并不混乱,看起来就像正常的脚本。如果您不确定代码是否为恶意代码,请访问我们的网站站长帮助论坛;在该论坛中,有一群经验丰富的网站站长可以帮助您检查相关文件。

第 5 步

现在您已知道哪些文件可疑,请通过将这些文件保存在您的计算机上来创建备份或本地副本,以防任何文件不是恶意文件,然后从您的网站中删除这些可疑文件。

检查您的网站是否已清理

删除被黑文件之后,请检查您的辛苦工作是否得到了回报。还记得您之前发现的那些乱码网页吗?再次使用“Google 抓取方式”工具检查这些网页,看它们是否仍然存在。如果它们在“Google 抓取方式”中的响应为“未找到”,则说明您的网站很可能处于良好状态,您可以继续修复网站上的漏洞。

如何防止再次遭到入侵?

修复网站上的漏洞是修复网站的关键最后一步。最近的一项研究发现,20% 的被黑网站会在一天内再次遭到入侵。了解网站遭到入侵的具体方式非常有用。请阅读我们的垃圾内容发布者最常用的网站入侵方法指南以开始调查问题。不过,如果您无法确定网站是如何遭到入侵的,可以参考下方的核对清单,了解如何减少网站上的漏洞:

  • 定期扫描计算机:使用任何热门的病毒扫描程序检查是否存在病毒或漏洞。
  • 定期更改密码:定期更改用于所有网站帐号(例如托管服务提供商、FTP 和 CMS)的密码可以阻止攻击者未经授权地访问您的网站。请务必为每个帐号创建一个安全系数高且独一无二的密码。
  • 使用双重身份验证 (2FA):考虑对任何需要您登录的服务启用双重身份验证功能。双重身份验证功能让黑客更难以登录,即使他们成功窃取了您的密码也没关系。
  • 定期更新 CMS、插件、扩展程序和模块:希望您已经执行了此步骤。很多网站遭到入侵 是因为运行了过期软件某些内容管理系统支持自动更新功能。
  • 考虑订阅安全服务以监控您的网站:有许多优秀的服务可以帮助您监控网站,并且只需支付少量的费用。建议您注册此类代码,以确保您的网站安全。

其他资源

如果您在修复网站时仍然遇到问题,还有一些其他资源可能会对您有所帮助。

这些工具会扫描您的网站,并可能会找出有问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。

这些工具只是其中一些工具,也许它们能够扫描您的网站,找出有问题的内容。但请注意,这些扫描工具无法保证一定能找出每一类有问题的内容。

下面是 Google 提供的可为您提供帮助的其他资源: