修复乱码黑客行为

本指南专门针对的是一种向您的网站添加大量关键字乱码网页的黑客行为,我们称之为乱码黑客行为。我们专为使用热门内容管理系统 (CMS) 的用户设计,但即使您并未使用 CMS,本指南也会对您有所帮助。

我们希望确保本指南确实对您有所帮助。 留言反馈,帮助我们改进!

识别此类黑客行为

乱码黑客行为会自动使用您网站上由关键字填充的无意义句子创建许多网页。这些网页不是您创建的,但包含可能会吸引用户点击的网址。黑客这样做的目的是,让被黑网页显示在 Google 搜索中。然后,如果用户尝试访问这些网页,则会被重定向到不相关的网页。当用户访问这些不相关的网页时,黑客就会获得收入。以下是您在受乱码黑客行为影响的网站上可能会看到的文件类型的一些示例:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

有时,它们会显示在由随机字符组成的文件夹中,并使用不同的语言:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

首先,请检查 Search Console 中的安全问题工具,看看 Google 是否在您的网站上发现了上述任何被黑网页。有时,您也可以通过打开 Google 搜索窗口并输入 site:_your site url_(使用您网站的根级网址)来发现此类网页。系统会显示 Google 已针对您的网站编入索引的网页,包括被黑网页。您可以翻阅几页搜索结果,看看能否发现任何异常网址。如果您在 Google 搜索中没有看到任何被黑内容,请使用其他搜索引擎搜索相同的搜索字词。如下所示:

搜索结果中显示了来自此黑客手段的网页。
被黑网页会显示在 Google 搜索结果中。

通常情况下,当您点击指向被黑网页的链接时,要么会被重定向到其他网站,要么会看到满是乱码内容的网页。不过,您可能还会看到一条表明网页不存在的消息(例如 404 错误)。别被骗了!如果网页仍然被黑,黑客会试图诱使您认为相应网页已消失或修复。为此,他们会隐藏真实内容。在网址检查工具中输入您网站的网址,检查是否存在隐藏真实内容的问题。借助“Google 抓取方式”工具,您可以查看潜在的隐藏内容。

如果您看到这些问题,则表明您的网站很可能受到了此类黑客行为的影响。

解决黑客入侵问题

开始之前,请先为任何文件创建离线副本,然后再将其移除,以备日后需要恢复这些文件时使用。在开始执行清理流程之前,最好先备份您的整个网站。为此,您可以将服务器上的所有文件保存到服务器之外的位置,或搜索最适合您的特定内容管理系统 (CMS) 的备份选项。如果您使用的是 CMS,还请备份数据库。

检查您的 .htaccess 文件(2 个步骤)

乱码黑客行为使用 .htaccess 文件重定向您网站的访问者。

第 1 步

在您的网站上找到 .htaccess 文件。如果您不确定在哪里可以找到该文件,并且使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中同时搜索“.htaccess 文件位置”以及您所用的 CMS 的名称。您可能会看到多个 .htaccess 文件,具体取决于您的网站。列出所有 .htaccess 文件位置。

第 2 步

将所有 .htaccess 文件替换为 .htaccess 文件的简洁版本或默认版本。您通常可以搜索“默认 .htaccess 文件”和您的 CMS 的名称,找到 .htaccess 文件的默认版本。对于具有多个 .htaccess 文件的网站,请查找每个文件的干净版本并替换它们。

如果不存在默认 .htaccess,并且您从未在网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件可能是恶意文件。为保险起见,请离线保存 .htaccess 文件的副本,然后从您的网站中删除 .htaccess 文件。

查找并移除其他恶意文件(5 个步骤)

识别恶意文件可能既复杂又耗时。请检查文件时不要着急。如果您尚未备份网站上的文件,这便是备份的好时机。在 Google 中搜索“备份网站”以及您 CMS 的名称,以查找有关如何备份网站的说明。

第 1 步

如果您使用 CMS,请重新安装 CMS 默认分发中附带的所有核心(默认)文件,以及您可能添加的任何内容(例如主题、模块、插件)。这有助于确保这些文件中不含被黑内容。您可以在 Google 上搜索“重新安装”,并加上您的 CMS 名称,以查找重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必也重新安装这些内容。

第 2 步

现在,您需要查找任何剩余的恶意或遭到入侵的文件。这是整个过程中最困难且最耗时的部分,但完成此后,您就快大功告成了!

这种黑客行为通常会留下两种类型的文件:.txt 文件和 .php 文件。.txt 文件用作模板文件,.php 文件用于确定在您的网站上加载哪种类型的无意义内容。

首先查找 .txt 文件。根据您连接到网站的方式,您应该会看到某种类型的文件搜索功能。搜索“.txt”可调出所有扩展名为 .txt 的文件。其中大多数文件都是合法文件,例如许可协议或自述文件。您正在查找一组 .txt 文件,其中包含用于创建垃圾内容模板的 HTML 代码。下面列出了您可能会在这些恶意 .txt 文件中找到的不同代码段。

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

黑客会使用关键字替换手段来创建垃圾内容网页。您很可能会在整个被黑文件中看到一些可以替换掉的通用字词。

此外,大多数此类文件都包含某种类型的代码,这些代码会将垃圾链接和垃圾文本放置在可见页面上。

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

请移除这 .txt 个文件。如果它们都在同一个文件夹中,请移除整个文件夹。

第 3 步

查找恶意 PHP 文件的难度会略大一些。您的网站上可能存在一个或多个恶意 PHP 文件这些目录都可能包含在同一子目录中,也可能分散在整个网站上。

不要因为认为需要打开并查看每个 PHP 文件而感到应接不暇。首先,创建一个您想要调查的可疑 PHP 文件的列表。以下几种方法可用于确定哪些 PHP 文件可疑:

  • 由于您已经重新加载了 CMS 文件,因此请仅查看不属于默认 CMS 文件或文件夹的文件。这样应该可以排除大量 PHP 文件,并只需检查少数文件。
  • 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站遭到入侵后的几个月内遭到修改的文件。
  • 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。

第 4 步

创建好可疑 PHP 文件的列表后,请检查这些文件是否是恶意文件。如果您对 PHP 文件不熟悉,该流程可能会消耗更多时间,因此不妨重温一些 PHP 文档。如果您是刚开始接触编码,建议您获取帮助。在此期间,您可以寻找一些基本模式来识别恶意文件。

如果您使用 CMS,并且没有直接修改这些文件的习惯,请将服务器上的文件与随 CMS 以及任何插件和主题打包的默认文件列表进行比较。查找不应包含的文件以及大于默认版本的文件。

首先,扫描您已经找到的可疑文件,以查找包含看似混乱的字母和数字组合的大型文本块。大型文本块的前面通常是 base64_decoderot13evalstrrevgzinflate 等 PHP 函数组合。下面的示例展示了该代码块可能是什么样子。有时,所有此类代码都会被填充到一长串文本中,使其看起来小于实际大小。

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

有时,代码并不混乱,看起来就像正常的脚本。如果您不确定代码是否为恶意代码,请访问我们的 Google 搜索中心帮助社区,在该社区中,有一群经验丰富的网站站长可以帮助您检查相关文件。

第 5 步

现在您已知道哪些文件可疑,请通过将这些文件保存在您的计算机上来创建备份或本地副本,以防任何文件不是恶意文件,然后从您的网站中删除这些可疑文件。

检查您的网站是否已清理

删除被黑文件之后,请检查您的辛苦工作是否得到了回报。还记得您之前发现的那些乱码网页吗?再次使用“Google 抓取方式”工具检查这些网页,看它们是否仍然存在。如果它们在“Google 抓取方式”中的响应为“未找到”,则说明您的网站很可能处于良好状态,您可以继续修复网站上的漏洞。

如何防止再次遭到入侵?

修复网站上的漏洞是修复网站的关键最后一步。最近的一项研究发现,20% 的被黑网站会在一天内再次遭到入侵。了解网站遭到入侵的具体方式非常有用。请阅读我们的垃圾内容发布者最常用的网站入侵方法指南以开始调查问题。不过,如果您无法确定网站是如何遭到入侵的,可以参考下方的核对清单,了解如何减少网站上的漏洞:

  • 定期扫描计算机:使用任何热门的病毒扫描程序检查是否存在病毒或漏洞。
  • 定期更改密码:定期更改用于所有网站帐号(例如托管服务提供商、FTP 和 CMS)的密码可以阻止攻击者未经授权地访问您的网站。请务必为每个帐号创建一个安全系数高且独一无二的密码。
  • 使用双重身份验证 (2FA):考虑对任何需要您登录的服务启用双重身份验证功能。双重身份验证功能让黑客更难以登录,即使他们成功窃取了您的密码也没关系。
  • 定期更新 CMS、插件、扩展程序和模块:希望您已经执行了此步骤。很多网站遭到入侵 是因为运行了过期软件某些内容管理系统支持自动更新功能。
  • 考虑订阅安全服务以监控您的网站:有许多优秀的服务可以帮助您监控网站,并且只需支付少量的费用。建议您注册此类代码,以确保您的网站安全。

其他资源

如果您在修复网站时仍然遇到问题,还有一些其他资源可能会对您有所帮助。

这些工具会扫描您的网站,并可能会找出有问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。

这些工具只是其中一些工具,也许它们能够扫描您的网站,找出有问题的内容。但请注意,这些扫描工具无法保证一定能找出每一类有问题的内容。

下面是 Google 提供的可为您提供帮助的其他资源: