คำแนะนำนี้ใช้สำหรับการแฮ็กประเภทที่เพิ่มหน้าที่เต็มไปด้วยคีย์เวิร์ดที่ไม่มีความหมายลงในไซต์ ซึ่งเราจะเรียกว่าการแฮ็กแบบใช้คำที่ไม่มีความหมาย ซึ่งออกแบบมาสำหรับผู้ใช้ระบบจัดการเนื้อหา (CMS) ยอดนิยม แต่คำแนะนำนี้มีประโยชน์แม้ว่าคุณจะไม่ได้ใช้ CMS ก็ตาม
เราอยากแน่ใจว่าคู่มือนี้จะมีประโยชน์ต่อคุณจริงๆ แสดงความคิดเห็นเพื่อช่วยเราปรับปรุง
ระบุการแฮ็กประเภทนี้
การแฮ็กแบบใช้คำที่ไม่มีความหมายจะสร้างหน้าจำนวนมากโดยอัตโนมัติซึ่งมีประโยคที่ไม่มีความหมายซึ่งเต็มไปด้วยคีย์เวิร์ดในเว็บไซต์ของคุณ หน้าเหล่านี้เป็นหน้าที่คุณไม่ได้สร้างขึ้น แต่มี URL ที่อาจดึงดูดให้ผู้ใช้คลิก แฮ็กเกอร์ทำแบบนี้เพื่อให้หน้าที่ถูกแฮ็กแสดงขึ้นใน Google Search จากนั้น หากมีคนพยายามเข้าชมหน้าเว็บเหล่านี้ พวกเขาก็จะถูกเปลี่ยนเส้นทางไปยังหน้าที่ไม่เกี่ยวข้อง แฮ็กเกอร์ทำเงินได้เมื่อผู้ใช้ เข้าชมหน้าเว็บที่ไม่เกี่ยวข้องเหล่านี้ ต่อไปนี้คือตัวอย่างประเภทไฟล์ที่คุณอาจเห็นบนเว็บไซต์ที่ได้รับผลกระทบจากการแฮ็กแบบใช้คำที่ไม่มีความหมาย
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
บางครั้งหน้าเหล่านี้จะปรากฏในโฟลเดอร์ที่ประกอบด้วยอักขระแบบสุ่มและใช้ภาษาอื่น ดังนี้
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
ให้เริ่มจากการตรวจสอบเครื่องมือปัญหาด้านความปลอดภัยใน Search Console เพื่อดูว่า Google ตรวจพบหน้าที่ถูกแฮ็กลักษณะนี้ในเว็บไซต์ของคุณหรือไม่ บางครั้งคุณอาจพบหน้าลักษณะนี้ได้ด้วยการเปิดหน้าต่าง Google Search และพิมพ์ site:_your site url_ โดยใส่ URL ระดับรากของเว็บไซต์ คำสั่งนี้จะแสดงหน้าเว็บที่ Google จัดทำดัชนีให้กับไซต์
รวมถึงหน้าที่ถูกแฮ็กด้วย เปิดดูผลการค้นหาเร็วๆ สัก 2-3 หน้าเพื่อดูว่าพบ URL ที่ผิดปกติบ้างไหม ถ้าไม่พบเนื้อหาที่ถูกแฮ็กใน Google Search ให้ใช้ข้อความค้นหาเดียวกันนี้กับเครื่องมือค้นหาอื่น ตัวอย่างหน้าตามีดังนี้
โดยปกติแล้ว เมื่อคุณคลิกลิงก์ไปยังหน้าที่ถูกแฮ็ก คุณจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์อื่นหรือเห็นหน้าที่เต็มไปด้วยเนื้อหาที่ไม่มีความหมาย อย่างไรก็ตาม คุณยังอาจเห็นข้อความที่บ่งบอกว่าหน้านี้ไม่มีอยู่จริง (เช่น ข้อผิดพลาด 404) ด้วย แต่อย่าได้หลงกลไป แฮ็กเกอร์จะพยายามหลอกคุณ ว่าหน้านั้นได้หายไปหรือมีการแก้ไขแล้ว ซึ่งทำได้ด้วยการปิดบังเนื้อหา ให้ตรวจหาการปิดบังหน้าเว็บจริงโดยป้อน URL ของเว็บไซต์ในเครื่องมือตรวจสอบ URL เครื่องมือดึงข้อมูลเหมือนเป็น Google ช่วยให้คุณเห็นเนื้อหาที่ซ่อนอยู่ที่ซ่อนอยู่
หากพบปัญหาเหล่านี้ แสดงว่าเว็บไซต์ของคุณน่าจะได้รับผลกระทบจากการแฮ็กประเภทนี้
แก้ไขการแฮ็ก
ก่อนที่จะเริ่ม ให้สร้างสำเนาแบบออฟไลน์ของไฟล์ก่อนที่จะลบไฟล์ออก เพื่อเผื่อไว้ในกรณีที่คุณต้องการนำกลับเข้าระบบในภายหลัง แต่ทางที่ดี คุณควรจะสำรองไซต์ไว้ทั้งไซต์ก่อนที่จะเริ่มขั้นตอนการทำความสะอาด ซึ่งทำได้โดยบันทึกไฟล์ทั้งหมดที่อยู่ในเซิร์ฟเวอร์ไว้นอกเซิร์ฟเวอร์ หรือหาตัวเลือกการสำรองข้อมูลที่ดีที่สุดสำหรับระบบจัดการเนื้อหา (CMS) ของคุณโดยเฉพาะ หากใช้ CMS ให้สำรองข้อมูลฐานข้อมูลด้วย
ตรวจสอบไฟล์ .htaccess (2 ขั้นตอน)
การแฮ็กแบบใช้คำที่ไม่มีความหมายจะเปลี่ยนเส้นทางผู้เข้าชมจากเว็บไซต์ของคุณโดยใช้ไฟล์ .htaccess
ขั้นตอนที่ 1
ค้นหาไฟล์ .htaccess ในเว็บไซต์ของคุณ ถ้าไม่แน่ใจว่าอยู่ที่ใด และคุณใช้ CMS อย่างเช่น WordPress, Joomla หรือ Drupal ให้ค้นหา "ตำแหน่งไฟล์ .htaccess" ในเครื่องมือค้นหาพร้อมชื่อ CMS ของคุณ
คุณอาจเห็นไฟล์ .htaccess หลายไฟล์ ซึ่งขึ้นอยู่กับเว็บไซต์ของคุณ
ให้สร้างรายการตำแหน่งของไฟล์ .htaccess ทั้งหมด
ขั้นตอนที่ 2
แทนที่ไฟล์ .htaccess ทั้งหมดด้วยไฟล์ .htaccess เวอร์ชันที่สะอาดหรือเป็นค่าเริ่มต้น โดยปกติคุณจะหาเวอร์ชันเริ่มต้นของไฟล์ .htaccess ได้โดยค้นหา "ไฟล์ .htaccess เริ่มต้น" และชื่อ CMS ของคุณ สำหรับเว็บไซต์ที่มีไฟล์ .htaccess หลายไฟล์ ให้หาเวอร์ชันปกติของแต่ละไฟล์แล้วแทนที่
หากไม่มี .htaccess เริ่มต้นอยู่และคุณไม่เคยกำหนดค่าไฟล์ .htaccess ในเว็บไซต์ ไฟล์ .htaccess ที่คุณพบในเว็บไซต์อาจเป็นอันตราย
บันทึกสำเนาของไฟล์ .htaccess ไฟล์แบบออฟไลน์เพื่อเผื่อไว้และลบไฟล์ .htaccess ออกจากเว็บไซต์
ค้นหาและนำไฟล์อื่นๆ ที่เป็นอันตรายออก (5 ขั้นตอน)
การระบุไฟล์ที่เป็นอันตรายอาจเป็นเรื่องยุ่งยากและใช้เวลานาน ใช้เวลาอย่างเต็มที่ในการตรวจสอบไฟล์ หากยังไม่ได้ทำ ก็ควรจะสำรองข้อมูลไฟล์ในเว็บไซต์ ให้ค้นหาด้วยคำว่า "สำรองข้อมูลเว็บไซต์" และชื่อ CMS ของคุณใน Google เพื่อดูวิธีการสำรองข้อมูลเว็บไซต์
ขั้นตอนที่ 1
ถ้าคุณใช้ CMS ให้ติดตั้งไฟล์หลักทั้งหมด (ที่เป็นค่าเริ่มต้น) ที่อยู่ในชุดแพ็กเกจที่เป็นค่าเริ่มต้นของ CMS และไฟล์อื่นๆ ที่คุณอาจเพิ่มไว้ (เช่น ธีม โมดูล ปลั๊กอิน) ซึ่งจะช่วยให้แน่ใจว่าไฟล์เหล่านี้ ไม่มีเนื้อหาที่ถูกแฮก คุณสามารถค้นหา "ติดตั้งอีกครั้ง" และชื่อ CMS ใน Google เพื่อหาคำแนะนำในการติดตั้งอีกครั้ง ถ้าคุณมีปลั๊กอิน โมดูล ส่วนขยาย หรือธีม อย่าลืมติดตั้งรายการทั้งหมดนี้อีกครั้งด้วย
ขั้นตอนที่ 2
ตอนนี้คุณจะต้องหาไฟล์ที่เป็นอันตรายหรือถูกบุกรุกที่เหลืออยู่ ขั้นตอนนี้เป็นขั้นตอนที่ยากและใช้เวลานานที่สุด แต่หลังจากนี้คุณก็จะเกือบเสร็จแล้ว
โดยทั่วไปการแฮ็กนี้จะปล่อยให้มีไฟล์ 2 ประเภท ได้แก่ ไฟล์ .txt และไฟล์ .php ไฟล์ .txt ที่แสดงเป็นไฟล์เทมเพลต และไฟล์ .php จะเป็นตัวกำหนดประเภทเนื้อหาที่ไม่สื่อความหมายที่จะโหลดลงในเว็บไซต์
เริ่มต้นด้วยการค้นหาไฟล์ .txt คุณควรจะเห็นฟีเจอร์การค้นหาไฟล์บางประเภท โดยขึ้นอยู่กับวิธีที่คุณเชื่อมต่อกับเว็บไซต์ ให้ค้นหา ".txt" เพื่อดึงไฟล์ทั้งหมดที่มีนามสกุล .txt ขึ้นมา ไฟล์เหล่านี้ส่วนใหญ่จะเป็นไฟล์ที่ถูกต้อง เช่น ข้อตกลงการอนุญาตให้ใช้สิทธิหรือไฟล์ readme คุณกำลังหาชุดไฟล์ .txt ที่มีโค้ด HTML ที่ใช้สร้างเทมเพลตสแปม ต่อไปนี้เป็นตัวอย่างโค้ดต่างๆ ที่คุณอาจพบในไฟล์ .txt ที่เป็นอันตรายเหล่านี้
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
แฮ็กเกอร์ใช้การแทนที่คีย์เวิร์ดเพื่อสร้างหน้าสแปม ซึ่งเป็นไปได้อย่างยิ่งที่คุณจะเห็นคำทั่วไปที่สามารถแทนที่ได้ตลอดทั่วทั้งไฟล์ที่ถูกแฮ็ก
นอกจากนี้ ไฟล์เหล่านี้ส่วนใหญ่จะมีโค้ดบางประเภทที่กำหนดตำแหน่งของลิงก์สแปมและข้อความสแปมให้อยู่นอกหน้าที่มองเห็นได้
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
นำไฟล์ .txt นี้ออก หากทั้งหมดอยู่ในโฟลเดอร์เดียวกัน ให้นำทั้งโฟลเดอร์ออก
ขั้นตอนที่ 3
ไฟล์ PHP ที่เป็นอันตรายนั้นหาเจอยากกว่า อาจมีไฟล์เดียวหรือหลายไฟล์ ที่เป็นอันตรายในเว็บไซต์ ซึ่งทั้งหมดอาจอยู่ในไดเรกทอรีย่อยเดียวกันหรือกระจัดกระจายอยู่ทั่วทั้งเว็บไซต์
อย่าเพิ่งกังวลไปเพราะคิดว่าจะต้องเปิดและตรวจสอบไฟล์ PHP ทุกไฟล์ ให้เริ่มด้วยการสร้างรายชื่อไฟล์ PHP ที่น่าสงสัยที่คุณต้องการตรวจสอบ ต่อไปนี้เป็นตัวอย่างวิธีพิจารณาว่าไฟล์ PHP ใดบ้างน่าสงสัย
- เนื่องจากคุณโหลดไฟล์ CMS มาใหม่แล้ว ให้ดูเฉพาะไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของไฟล์หรือโฟลเดอร์ CMS ที่เป็นค่าเริ่มต้น ซึ่งวิธีนี้จะทำให้ข้ามไฟล์ PHP ได้เป็นจำนวนมาก และเหลือไฟล์ที่ต้องตรวจสอบเพียงเล็กน้อย
- จัดเรียงไฟล์ในไซต์ตามวันที่แก้ไขล่าสุด มองหาไฟล์ที่มีการแก้ไขในช่วงเวลาที่ห่างจากเวลาที่คุณพบว่าไซต์ถูกแฮ็กเป็นครั้งแรกไม่กี่เดือน
- จัดเรียงไฟล์ในไซต์ตามขนาด มองหาไฟล์ที่มีขนาดใหญ่ผิดปกติ
ขั้นตอนที่ 4
เมื่อคุณมีรายชื่อไฟล์ PHP ที่น่าสงสัยเรียบร้อยแล้ว ให้ตรวจดูว่าไฟล์เหล่านั้นเป็นอันตรายหรือไม่ หากคุณไม่คุ้นเคยกับ PHP ขั้นตอนนี้อาจใช้เวลามากขึ้น ดังนั้นโปรดลองอ่านเอกสารประกอบเกี่ยวกับ PHP เพื่อเป็นการทบทวน หากคุณไม่เคยเขียนโค้ดมาก่อนเลย ขอแนะนำให้ขอความช่วยเหลือ แต่ในระหว่างนี้ คุณสามารถมองหารูปแบบพื้นฐานบางอย่างเพื่อระบุไฟล์ที่เป็นอันตราย
ถ้าคุณใช้ CMS และไม่ค่อยชอบแก้ไขไฟล์เหล่านั้นโดยตรง ให้เปรียบเทียบไฟล์ในเซิร์ฟเวอร์กับรายการไฟล์เริ่มต้นที่รวมอยู่ใน CMS รวมถึงปลั๊กอินและธีมต่างๆ มองหาไฟล์ที่ไม่ได้อยู่ในไฟล์ รวมถึงไฟล์ที่มีขนาดใหญ่กว่าเวอร์ชันเริ่มต้น
ขั้นแรก ให้ตรวจไฟล์ที่น่าสงสัยที่คุณได้ระบุไว้แล้วเพื่อหาบล็อกข้อความขนาดใหญ่ที่ดูเหมือนเป็นตัวอักษรและตัวเลขที่ผสมกันอย่างยุ่งเหยิง โดยปกติแล้ว บล็อกข้อความขนาดใหญ่จะนำหน้าด้วยฟังก์ชัน PHP ต่างๆ ที่รวมเข้าด้วยกัน เช่น base64_decode, rot13, eval, strrev หรือ gzinflate
ต่อไปนี้เป็นตัวอย่างลักษณะของบล็อกโค้ดดังกล่าว บางครั้งโค้ดนี้ทั้งหมดจะถูกอัดอยู่ด้วยกันในข้อความยาวๆ บรรทัดเดียว ซึ่งทำให้ดูเหมือนมีขนาดเล็กกว่าที่เป็นจริง
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
บางครั้งโค้ดก็ไม่ได้ผสมปนเปกันจนยุ่งเหยิงและดูเหมือนเป็นสคริปต์ปกติ หากไม่แน่ใจว่าโค้ดเป็นโค้ดหรือไม่ ให้ลองไปที่ชุมชนความช่วยเหลือของ Google Search Central ซึ่งกลุ่มผู้ดูแลเว็บที่มีประสบการณ์จะช่วยคุณตรวจสอบไฟล์ได้
ขั้นตอนที่ 5
เมื่อทราบแล้วว่าไฟล์ใดน่าสงสัย ให้สร้างข้อมูลสำรองหรือสำเนาในเครื่องโดยบันทึกไว้ในคอมพิวเตอร์เผื่อในกรณีที่ไฟล์ไม่เป็นอันตราย แล้วลบไฟล์ที่น่าสงสัยออกจากเว็บไซต์
ตรวจสอบว่าเว็บไซต์เป็นปกติแล้วหรือไม่
เมื่อกำจัดไฟล์ที่ถูกแฮ็กออกไปแล้ว ให้ตรวจสอบว่าความทุ่มเทของคุณไม่เสียเปล่า ยังจำหน้าที่ไม่มีความหมายที่คุณพบก่อนหน้านี้ได้ไหม ให้ใช้เครื่องมือโปรแกรม Googlebot จำลองอีกครั้ง เพื่อดูว่าหน้ายังอยู่หรือไม่ ถ้าผลจากโปรแกรม Googlebot จำลองออกมาว่า "ไม่พบ" ก็แสดงว่าไซต์น่าจะไร้ปัญหาใดๆ แล้ว
ฉันจะป้องกันการถูกแฮ็กอีกได้อย่างไร
การแก้ไขช่องโหว่ในเว็บไซต์เป็นขั้นตอนสุดท้ายที่จำเป็นสำหรับการแก้ปัญหาเว็บไซต์ ผลการศึกษาเมื่อเร็วๆ นี้พบว่า 20% ของไซต์ที่ถูกแฮ็กได้ถูกแฮ็กซ้ำภายใน 1 วัน การรู้อย่างแน่ชัดว่าไซต์ถูกแฮ็กได้อย่างไรจึงมีประโยชน์อย่างยิ่ง อ่านคำแนะนำเรื่องวิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุดเพื่อเริ่มตรวจสอบ อย่างไรก็ตาม หากคุณหาไม่ได้ว่าเว็บไซต์ถูกแฮ็กได้อย่างไร ให้ลองดูรายการตรวจสอบสิ่งที่คุณทำได้เพื่อลดช่องโหว่ในเว็บไซต์ ดังนี้
- สแกนคอมพิวเตอร์เป็นประจำ: ใช้เครื่องมือสแกนไวรัสยอดนิยมเพื่อหาไวรัสหรือช่องโหว่
- เปลี่ยนรหัสผ่านเป็นประจำ: การเปลี่ยนรหัสผ่านของบัญชีทั้งหมดของเว็บไซต์เป็นประจำ เช่น ผู้ให้บริการโฮสติ้ง, FTP และ CMS จะช่วยป้องกันการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาตได้ ซึ่งเป็นสิ่งสำคัญในการสร้างรหัสผ่าน ที่รัดกุมและไม่ซ้ำกันสำหรับแต่ละบัญชี
- ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA): พิจารณาเปิดใช้ 2FA ในบริการใดก็ตามที่กำหนดให้คุณต้องลงชื่อเข้าใช้ 2FA ทำให้แฮ็กเกอร์ลงชื่อเข้าใช้ได้ยากขึ้น แม้ว่าจะขโมยรหัสผ่านของคุณสำเร็จก็ตาม
- อัปเดต CMS, ปลั๊กอิน, ส่วนขยาย และโมดูลเป็นประจำ: หวังว่าคุณจะได้ทำตามขั้นตอนนี้แล้ว ไซต์จำนวนมากถูกแฮ็กเนื่องจาก ใช้ซอฟต์แวร์ที่ล้าสมัย ทั้งนี้ CMS บางระบบรองรับการอัปเดตอัตโนมัติด้วย
- พิจารณาสมัครใช้บริการรักษาความปลอดภัยเพื่อตรวจสอบเว็บไซต์: มีบริการดีๆ มากมายที่ช่วยคุณตรวจสอบเว็บไซต์ได้โดยคิดค่าธรรมเนียมเพียงเล็กน้อย ลองลงทะเบียนกับผู้ให้บริการดังกล่าวเพื่อให้ไซต์ปลอดภัย
แหล่งข้อมูลเพิ่มเติม
มีแหล่งข้อมูลอีกหลายรายการที่อาจช่วยคุณได้ หากคุณยังคงพบปัญหาในการแก้ไขเว็บไซต์
เครื่องมือเหล่านี้จะสแกนไซต์และอาจพบเนื้อหาที่มีปัญหา แต่นอกเหนือจาก VirusTotal แล้ว Google ไม่ใช้หรือรองรับเครื่องมืออื่นใดอีก
นี่เป็นเพียงเครื่องมือบางอย่างที่อาจสแกนเว็บไซต์เพื่อหาเนื้อหาที่เป็นปัญหาได้ โปรดทราบว่าโปรแกรมสแกนเหล่านี้ไม่สามารถรับประกันได้ว่าจะพบเนื้อหาที่มีปัญหาทุกประเภท
ทรัพยากรเพิ่มเติมจาก Google ที่ช่วยคุณได้มีดังนี้