Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Memperbaiki peretasan kata kunci Jepang

Panduan ini dibuat khusus untuk jenis peretasan yang memunculkan teks Jepang secara otomatis di situs Anda, yang akan kita sebut sebagai peretasan kata kunci Jepang. Panduan ini ditujukan bagi pengguna Sistem Manajemen Konten (CMS) populer, tetapi juga berguna sekalipun Anda tidak menggunakan CMS.

Catatan: Tidak yakin apakah situs Anda diretas atau tidak? Mulailah dengan membaca panduan cara mengetahui apakah situs saya diretas.

Daftar Isi

Mengidentifikasi jenis peretasan ini

Peretasan kata kunci Jepang biasanya membuat halaman baru yang memuat teks Jepang otomatis di situs Anda pada nama direktori yang dibuat secara acak (misalnya, http://example.com/ltjmnjp/341.html). Halaman tersebut dimonetisasi menggunakan link afiliasi ke toko yang menjual barang dagangan palsu dan kemudian ditampilkan di penelusuran Google. Contoh tampilan salah satu halaman tersebut adalah seperti ini:

Pada jenis peretasan ini, peretas biasanya akan menambahkan dirinya sebagai pemilik properti di Search Console, dengan maksud meningkatkan keuntungan dengan memanipulasi setelan situs Anda seperti penargetan-geo atau peta situs. Jika Anda menerima pemberitahuan bahwa seseorang yang tidak Anda kenal telah memverifikasi situs Anda di Search Console, kemungkinan besar situs Anda telah diretas.

Mulailah dengan memeriksa alat Masalah Keamanan di Search Console untuk melihat apakah Google telah menemukan halaman yang diretas ini di situs Anda. Anda juga dapat menemukan halaman seperti ini dengan membuka Google Penelusuran dan menelusuri site:[your site root URL]. Langkah ini akan menampilkan halaman yang telah diindeks Google untuk situs Anda, termasuk halaman yang diretas. Buka beberapa halaman hasil penelusuran untuk melihat apakah Anda menemukan URL yang tidak biasa. Jika Anda tidak melihat konten yang diretas di Google Penelusuran, gunakan istilah penelusuran yang sama dengan mesin telusur berbeda. Mesin telusur lain mungkin menampilkan konten yang diretas yang telah dihapus Google dari indeks. Contoh dari tindakan ini diilustrasikan di bawah ini.

Perhatikan bahwa hasil penelusuran di sini memuat banyak halaman yang tidak dibuat oleh pemilik situs. Jika Anda mencermati bagian deskripsi, Anda akan melihat contoh teks Jepang yang dibuat oleh peretasan ini.

Saat mengunjungi halaman yang diretas, Anda mungkin melihat pesan yang menunjukkan bahwa halaman tersebut tidak ada (misalnya, error 404). Jangan tertipu! Peretas akan mencoba menipu Anda agar berpikir bahwa situs Anda telah diperbaiki dengan membuat Anda yakin bahwa halaman yang diretas telah hilang atau diperbaiki. Mereka melakukan ini dengan teknik penyelubungan konten. Periksa apakah peretas menggunakan penyelubungan dengan mengetikkan URL situs Anda pada fitur Fetch sebagai Google di Search Console. Fitur Fetch sebagai Google memungkinkan Anda melihat konten tersembunyi yang mendasarinya.

Memperbaiki peretasan

Sebagai langkah awal, buat salinan offline dari semua file sebelum Anda menghapusnya, sebagai jaga-jaga jika Anda perlu memulihkannya nanti. Akan lebih baik lagi jika Anda mem-backup seluruh situs sebelum memulai proses pembersihan. Anda dapat melakukannya dengan menyimpan semua file yang ada di server ke sebuah lokasi di luar server atau mencari opsi backup terbaik untuk Sistem Manajemen Konten (CMS) yang Anda gunakan. Jika Anda menggunakan CMS, sebaiknya backup juga database Anda.

Menghapus akun yang baru dibuat dari Search Console

Jika pemilik baru yang tidak Anda kenal ditambahkan ke akun Search Console, cabut akses mereka sesegera mungkin. Anda dapat memeriksa daftar pengguna yang diverifikasi untuk situs Anda di halaman verifikasi Search Console. Klik "Detail Verifikasi" untuk situs Anda untuk melihat semua pengguna terverifikasi.

Untuk menghapus pemilik dari Search Console, baca bagian Menghapus Pemilik pada Mengelola pengguna, pemilik, dan izin di Pusat Bantuan. Anda harus menghapus token verifikasi terkait yang biasanya berupa file HTML di root situs Anda atau file .htaccess yang dihasilkan secara dinamis yang meniru file HTML.

Jika Anda tidak dapat menemukan token verifikasi HTML di situs Anda, periksa aturan penulisan ulang di file .htaccess Anda. Aturan penulisan ulang akan terlihat seperti ini:

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

Catatan: Biasanya Anda dapat memeriksa apakah Anda berhasil menghapus token verifikasi yang dihasilkan secara dinamis dengan mengakses file token verifikasi yang disimulasikan seperti wwww.example.com/google[random number and letters].html. Misalnya, jika situs Anda adalah www.brandonsbaseballcards.com, coba akses www.brandonsbaseballcards.com/google1234.html. Jika halaman tersebut menampilkan HTTP 404, maka token verifikasi yang dihasilkan secara dinamis kemungkinan telah diperbaiki.

Untuk menghapus token verifikasi yang dihasilkan secara dinamis dari file .htaccess, ikuti langkah-langkah di bawah ini.

Memeriksa file .htaccess (2 langkah)

Selain menggunakan file .htaccess untuk membuat token verifikasi yang dihasilkan secara dinamis, peretas sering menggunakan aturan .htaccess untuk mengalihkan pengguna atau membuat halaman yang berisi spam nonsens. Kecuali jika Anda memiliki aturan .htaccess kustom, pertimbangkan untuk mengganti .htaccess Anda dengan salinan yang benar-benar baru.

Langkah 1

Temukan file .htaccess di situs Anda. Jika Anda tidak yakin tempatnya, dan Anda menggunakan CMS seperti WordPress, Joomla, atau Drupal, ketikkan "lokasi file .htaccess" beserta nama CMS Anda di mesin telusur. Bergantung situsnya, Anda mungkin menemukan beberapa file .htaccess. Buat daftar semua lokasi file .htaccess.

Langkah 2

Ganti semua file .htaccess dengan file .htaccess versi bersih atau default. Biasanya Anda dapat menemukan file .htaccess versi default dengan mengetikkan "file .htaccess default" dan nama CMS Anda di mesin telusur. Untuk situs yang memiliki beberapa file .htaccess, temukan versi bersih dari setiap file, lalu lakukan penggantian.

Catatan: .htaccess sering merupakan "file tersembunyi". Pastikan mengaktifkan menampilkan file tersembunyi saat menjalankan penelusuran.

Menghapus Semua File dan Skrip Berbahaya (4 langkah)

Mengidentifikasi file berbahaya bisa jadi rumit dan memerlukan waktu berjam-jam. Luangkan waktu untuk memeriksa file Anda. Jika belum, inilah saat yang tepat untuk mem-backup file di situs Anda. Ketikkan "situs backup" dan nama CMS Anda di mesin telusur Google untuk menemukan petunjuk cara mem-backup situs.

Langkah 1

Jika Anda menggunakan CMS, instal ulang semua file inti (default) yang ada dalam distribusi default CMS Anda. Langkah ini membantu memastikan bahwa file-file tersebut aman dari konten yang diretas. Anda dapat mengetik "instal ulang" dan nama CMS Anda di mesin telusur Google untuk menemukan petunjuk tentang proses penginstalan ulang. Jika Anda menggunakan plugin, modul, ekstensi, atau tema, pastikan untuk juga menginstal ulang semua komponen tersebut.

Menginstal ulang file inti dapat menyebabkan hilangnya semua penyesuaian yang telah dibuat jika file-file tersebut sebelumnya diedit secara langsung. Pastikan Anda membuat backup database dan semua file sebelum menjalankan penginstalan ulang.

Langkah 2

Peretas akan sering memodifikasi peta situs Anda atau menambahkan peta situs baru untuk membuat URL mereka terindeks lebih cepat. Jika sebelumnya Anda memiliki file peta situs, periksa file tersebut untuk mendeteksi link mencurigakan lalu hapuslah dari peta situs. Jika ada file peta situs yang seingat Anda tidak Anda tambahkan ke situs, periksa kembali file itu dan hapus jika hanya memuat URL yang berisi spam.

Langkah 3

Cari file berbahaya atau file yang telah disusupi yang masih tersisa. Anda mungkin telah menghapus semua file berbahaya dalam dua langkah sebelumnya, namun sebaiknya Anda melakukan beberapa langkah berikut jika ada lebih banyak file di situs Anda yang telah disusupi.

Jangan merasa kewalahan dengan berpikir bahwa Anda harus membuka dan memeriksa setiap file PHP. Mulailah dengan membuat daftar file PHP mencurigakan yang ingin Anda selidiki. Berikut adalah beberapa cara untuk menentukan file PHP mana yang mencurigakan:

  • Karena Anda telah memuat ulang file CMS, lihat hanya file yang bukan merupakan bagian dari file atau folder CMS default Anda. Cara ini akan menyisihkan sejumlah besar file PHP dan menyisakan beberapa file saja yang perlu Anda periksa.
  • Urutkan file di situs Anda berdasarkan tanggal terakhir diubah. Cari file yang diubah dalam beberapa bulan sejak Anda mulai mendapati bahwa situs Anda diretas.
  • Urutkan file di situs Anda berdasarkan ukurannya. Cari file yang terlampau besar.

Catatan: Penyerang biasanya menyuntikkan skrip ke file berikut: index.php, wp-load.php, 404.php, dan view.php.

Langkah 4

Setelah memiliki daftar file PHP yang mencurigakan, periksa apakah file tersebut berbahaya. Jika Anda tidak terbiasa dengan PHP, proses ini dapat menghabiskan waktu lama, jadi pertimbangkan untuk mempelajari kembali beberapa dokumentasi PHP. Jika Anda baru mengenal coding, sebaiknya mintalah bantuan. Sementara itu, ada beberapa pola dasar yang dapat Anda cari untuk mengidentifikasi file berbahaya.

Jika Anda menggunakan CMS, dan tidak terbiasa mengedit file-file itu secara langsung, bandingkan daftar file di server Anda dengan daftar file default yang dipaketkan bersama CMS dan plugin serta tema apa pun. Temukan file yang tidak termasuk dalam, dan yang ukurannya tampak lebih besar daripada, versi defaultnya.

Pindai file mencurigakan yang telah Anda identifikasi untuk menemukan blok kode yang disamarkan. Kode tersebut mungkin tampak seperti kombinasi huruf dan angka yang campur-aduk. Kode yang disamarkan biasanya didahului dengan kombinasi fungsi PHP seperti base64_decode, rot13, eval, strrev, gzinflate, meskipun terkadang fungsi tersebut juga disamarkan. Tampilan blok kode adalah seperti di bawah ini. Terkadang semua kode ini akan dimasukkan ke dalam satu baris teks yang panjang, sehingga terlihat lebih kecil daripada yang sebenarnya:

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Memeriksa apakah situs Anda bersih

Setelah selesai menyingkirkan file yang diretas, periksa apakah jerih payah Anda terbayar. Ingat halaman-halaman nonsens yang Anda identifikasi tadi? Gunakan lagi fitur Fetch sebagai Google untuk melihat apakah halaman itu masih ada. Jika Fetch sebagai Google mendapatkan respons "Tidak Ditemukan", kemungkinan Anda telah berhasil menyelesaikan masalah!

Anda juga dapat mengikuti langkah-langkah di Pemecah Masalah Situs yang Diretas untuk memeriksa apakah masih ada konten yang diretas di situs Anda.

Bagaimana supaya saya tidak diretas lagi?

Memperbaiki kerentanan di situs Anda merupakan langkah penting terakhir untuk memperbaiki situs. Sebuah studi baru-baru ini menemukan bahwa 12% situs yang diretas akan diretas lagi dalam waktu 30 hari. Mengetahui secara persis bagaimana situs Anda diretas akan sangat membantu. Bacalah panduan metode yang paling sering digunakan pengirim spam untuk meretas situs untuk mengawali penyelidikan Anda. Namun, jika tidak dapat mengetahui bagaimana situs Anda diretas, berikut adalah checklist tentang hal-hal yang dapat dilakukan untuk mengurangi kerentanan di situs Anda:

  • Memindai komputer secara teratur: Gunakan pemindai virus tepercaya untuk mendeteksi virus atau kerentanan.
  • Mengganti sandi secara teratur: Mengganti sandi secara teratur untuk semua akun situs web seperti penyedia hosting, FTP, dan CMS dapat mencegah akses tidak sah ke situs Anda. Buatlah sandi yang kuat dan unik untuk setiap akun.
  • Menggunakan Autentikasi Dua Faktor (2FA): Pertimbangkan mengaktifkan 2FA pada semua layanan yang mengharuskan Anda untuk login. 2FA mempersulit peretas untuk login sekalipun mereka berhasil mencuri sandi Anda.
  • Mengupdate CMS, plugin, ekstensi, dan modul secara teratur: Mudah-mudahan Anda telah melakukan langkah ini. Banyak situs diretas karena menjalankan software usang. Beberapa CMS mendukung update otomatis.
  • Mempertimbangkan langganan layanan keamanan untuk memantau situs: Ada banyak layanan hebat di luar sana yang dapat membantu Anda memantau situs dengan biaya yang kecil. Pertimbangkan untuk mendaftar agar situs Anda tetap aman.

Resource tambahan

Jika Anda masih mengalami masalah dalam memperbaiki situs, ada beberapa resource lain yang mungkin bisa membantu.

Program berikut ini memindai situs dan mungkin dapat menemukan konten yang bermasalah. Selain VirusTotal, Google tidak menjalankan atau mendukung program lainnya.

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: Ini hanyalah beberapa program yang mungkin bisa memindai situs untuk menemukan konten bermasalah. Namun tidak ada jaminan bahwa program pemindai ini akan mengidentifikasi semua jenis konten yang bermasalah.

Berikut adalah resource tambahan dari Google yang dapat membantu Anda: