The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

De hack met Japanse zoekwoorden oplossen

Deze gids is speciaal ontwikkeld voor een type hack waarmee automatisch gegenereerde Japanse tekst aan uw site worden toegevoegd. Dit noemen we de hack met Japanse zoekwoorden ('Japanese keyword hack'). De gids is ontworpen voor gebruikers van populaire contentmanagementsystemen (CMS), maar is ook nuttig als u geen CMS gebruikt.

Opmerking: Weet u niet zeker of uw site is gehackt? Raadpleeg dan eerst onze gids Hoe u kunt controleren of uw site is gehackt.

Inhoudsopgave

Identificatie van deze hack

De hack met Japanse zoekwoorden maakt doorgaans nieuwe pagina's met automatisch gegenereerde Japanse tekst op uw site en dat in willekeurige gegenereerde mapnamen (bijvoorbeeld http://example.com/ltjmnjp/341.html). Er worden inkomsten via deze pagina's gegenereerd via partnerlinks naar winkels die nepmerkartikelen verkopen. Deze pagina's worden vervolgens weergegeven in Google Zoeken. Hier volgt een voorbeeld van hoe een dergelijke pagina eruit kan zien:

Met dit type hack voegt de hacker zichzelf meestal toe als property-eigenaar in Search Console om zo de winst te vergroten door site-instellingen als geotargeting of sitemaps te manipuleren. Als u een melding heeft ontvangen dat iemand die u niet kent uw site heeft geverifieerd in Search Console, is de kans groot dat uw site is gehackt.

Begin door met de tool Beveiligingsproblemen in Search Console te controleren of Google een dergelijke gehackte pagina op uw site heeft gedetecteerd. U kunt ook pagina's als deze achterhalen door Google Zoeken te openen en te zoeken naar site:[your site root URL]. Hiermee ziet u de pagina's die Google voor uw site heeft geïndexeerd, inclusief de gehackte pagina's. Bekijk een aantal pagina's met zoekresultaten om te zien of u ongebruikelijke URL's tegenkomt. Als u geen gehackte content in Google Zoeken ziet, gebruikt u dezelfde zoektermen in een andere zoekmachine. Andere zoekmachines kunnen gehackte content weergeven die Google uit de index heeft verwijderd. U ziet hieronder een voorbeeld van hoe dat eruitziet.

De zoekresultaten bevatten in dit geval veel pagina's die niet door de eigenaar van de site zijn gemaakt. Als u deze beschrijvingen goed bekijkt, ziet u voorbeelden van de Japanse tekst die via deze hack wordt gemaakt.

Wanneer u een gehackte pagina bezoekt, ziet u mogelijk een bericht waarin wordt aangegeven dat de pagina niet bestaat (bijvoorbeeld een 404-fout). Trap hier niet in. Hackers zullen proberen u te laten denken dat uw site is hersteld door u te laten geloven dat de gehackte pagina's zijn verwijderd of hersteld. Dit doen ze door content te verbergen (cloaking). Controleer uw site op cloaking door uw site-URL in de tool Fetchen als Google in Search Console in te voeren. Met de tool 'Fetchen als Google' kunt u onderliggende verborgen content zien.

De hack oplossen

Maak voordat u begint een offline kopie van bestanden voordat u deze verwijdert, voor het geval u deze later moet herstellen. Het is nog beter om een back-up van uw volledige site te maken voordat u het opschoningsproces start. U kunt dit doen door alle bestanden op uw server op te slaan op een locatie buiten uw server of door te zoeken naar de beste back-upmogelijkheden voor uw specifieke contentmanagementsysteem (CMS). Als u een CMS gebruikt, moet u ook een back-up maken van de database.

Nieuw gemaakte accounts verwijderen uit Search Console

Als er een nieuwe eigenaar die u niet herkent aan uw Search Console-account is toegevoegd, moet u de toegang van diegene zo snel mogelijk intrekken. U kunt op de verificatiepagina van Search Console controleren welke gebruikers zijn geverifieerd voor uw site. Klik op Verificatiedetails van de site om alle geverifieerde gebruikers te bekijken.

Raadpleeg het gedeelte 'Eigenaar verwijderen' van het Helpcentrum-artikel Gebruikers, eigenaren en rechten beheren om een eigenaar uit Search Console te verwijderen. U moet het gekoppelde verificatietoken verwijderen. Dit is meestal een HTML-bestand in de root van uw site of een dynamisch gegenereerd .htaccess-bestand dat een HTML-bestand nabootst.

Als u geen HTML-verificatietoken op uw site kunt vinden, zoek dan naar een herschrijvingsregel in uw .htaccess-bestand. De herschrijvingsregel kan er als volgt uitzien:

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

Opmerking: U kunt doorgaans controleren of u een dynamisch gegenereerd verificatietoken heeft verwijderd door naar een gesimuleerd verificatietokenbestand zoals wwww.example.com/google[random number and letters].html te navigeren. Als uw site bijvoorbeeld www.mijnvoetbalplaatjes.nl is, navigeert u naar www.mijnvoetbalplaatjes.nl/google1234.html. Als die pagina een HTTP 404 retourneert, is het dynamisch gegenereerde verificatietoken waarschijnlijk opgelost.

Volg de onderstaande stappen om het dynamisch gegenereerde verificatietoken uit uw .htaccess-bestand te verwijderen.

Uw .htaccess-bestand controleren (twee stappen)

Naast het gebruik van een .htaccess-bestand om dynamisch gegenereerde verificatietokens te maken, gebruiken hackers vaak .htaccess-regels om gebruikers om te leiden of spampagina's met onzin te maken. Tenzij u aangepaste .htaccess-regels heeft, kunt u uw .htaccess vervangen door een volledig nieuwe kopie.

Stap 1

Zoek naar het .htaccess-bestand op uw site. Als u niet zeker weet waar u dit kunt vinden en als u een CMS zoals WordPress, Joomla of Drupal gebruikt, zoekt u via een zoekmachine naar '.htaccess file location' in combinatie met de naam van uw CMS. U heeft afhankelijk van uw site mogelijk meerdere .htaccess-bestanden. Maak een lijst van alle .htaccess-bestandslocaties.

Stap 2

Vervang alle .htaccess-bestanden door een schone of standaardversie van het .htaccess-bestand. U kunt doorgaans een standaardversie van een .htaccess-bestand vinden door te zoeken naar 'default .htaccess file' en de naam van uw CMS. Voor sites met meerdere .htaccess-bestanden zoekt u naar een schone versie van elk bestand en vervangt u de oude bestanden.

Opmerking: Het .htaccess-bestand is vaak een verborgen bestand. Zorg ervoor dat u verborgen bestanden weergeeft wanneer u naar het bestand zoekt.

Alle schadelijke bestanden en scripts verwijderen (vier stappen)

De identificatie van schadelijke bestanden kan lastig zijn en veel tijd in beslag nemen. Neem de tijd wanneer u uw bestanden controleert. Maak een back-up van de bestanden op uw site als u dit nog niet heeft gedaan. Voer een Google-zoekopdracht uit naar 'backup site' en de naam van uw CMS om instructies te ontvangen voor het maken van een back-up van uw site.

Stap 1

Als u een CMS gebruikt, moet u alle kernbestanden (standaardbestanden) van de standaarddistributie van uw CMS opnieuw installeren. Zo zorgt u ervoor dat deze bestanden vrij zijn van gehackte content. U kunt een Google-zoekopdracht uitvoeren voor 'reinstall' en uw CMS-naam voor instructies over het herinstallatieproces. Als u plug-ins, modules, extensies of thema's gebruikt, moet u deze ook opnieuw installeren.

Als u uw kernbestanden opnieuw installeert, gaan alle door u aangebrachte aanpassingen verloren als u de bestanden rechtstreeks heeft bewerkt. Zorg ervoor dat u een back-up maakt van uw database en alle bestanden voordat u opnieuw installeert.

Stap 2

Hackers wijzigen vaak uw sitemap of voegen een nieuwe sitemap toe om hun URL's sneller te indexeren. Als u eerder een sitemapbestand heeft gebruikt, controleert u het bestand op verdachte links en verwijdert u deze uit uw sitemap. Als er een sitemapbestand aanwezig is waarvan u zich niet kunt herinneren dat u dit aan uw site heeft toegevoegd, controleert u dit bestand en verwijdert u dit als het bestand alleen maar spam-URL's bevat.

Stap 3

Zoek naar eventueel overgebleven schadelijke of gehackte bestanden. U heeft mogelijk al alle schadelijke bestanden verwijderd in de vorige twee stappen, maar u kunt het beste ook deze stappen volgen om te controleren of meer bestanden op uw site zijn gehackt.

U hoeft niet elk PHP-bestand te openen en door te nemen. Begin door een lijst te maken van verdachte PHP-bestanden die u nader wilt onderzoeken. Hier volgen enkele manieren om te bepalen welke PHP-bestanden verdacht zijn:

  • Aangezien u uw CMS-bestanden al opnieuw heeft geladen, hoeft u alleen te kijken naar bestanden die geen deel uitmaken van uw standaard CMS-bestanden of -mappen. Hiermee valt al een groot aantal PHP-bestanden af en houdt u een handjevol bestanden over om te controleren.
  • Sorteer de bestanden op uw site op de laatst gewijzigde datum. Zoek naar bestanden die zijn gewijzigd binnen een paar maanden na de tijd dat u heeft ontdekt dat uw site is gehackt.
  • Sorteer de bestanden op uw site op grootte. Zoek naar ongewoon grote bestanden.

Opmerking: Aanvallers voegen doorgaans scripts in de volgende bestanden in: index.php, wp-load.php, 404.php en view.php.

Stap 4

Zodra u een lijst van verdachte PHP-bestanden heeft, controleert u of deze schadelijk zijn. Als u onbekend bent met PHP, kan dit proces tijdrovender zijn. U kunt als voorbereiding PHP-documentatie doornemen. Als u helemaal nieuw bent in de wereld van codering, raden we u aan hulp in te schakelen. Er zijn echter wel een aantal basispatronen waarnaar u kunt zoeken om schadelijke bestanden te identificeren.

Als u een CMS gebruikt en deze bestanden niet rechtstreeks wilt bewerken, kunt u de bestanden op uw server vergelijken met een lijst van de standaardbestanden die bij de CMS en eventuele plug-ins of thema's zijn geleverd. Zoek naar bestanden die er niet horen te zijn en bestanden die groter zijn dat de standaardbestanden.

Neem de verdachte bestanden die u al heeft geïdentificeerd door om naar blokken met verborgen code te zoeken. Dit kan eruitzien als een combinatie van letters en cijfers die door elkaar lijken te staan. De verborgen code wordt meestal voorafgegaan door een combinatie van PHP-functies zoals base64_decode, rot13, eval, strrev, gzinflate, maar soms worden zelfs die functies verborgen. Hier volgt een voorbeeld van hoe een codeblok eruit kan zien. Soms wordt al deze code in een lange tekstregel gezet, waardoor deze kleiner lijkt dan deze eigenlijk is:

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Controleren of uw site schoon is

Zodra u klaar bent met het verwijderen van gehackte bestanden, moet u controleren of alles goed is gegaan. Kunt u zich de onzinpagina's nog herinneren die u eerder heeft geïdentificeerd? Gebruik opnieuw de tool 'Fetchen als Google' om te controleren of deze pagina's nog aanwezig zijn. Als deze niet worden gevonden in 'Fetchen als Google', is de kans heel groot dat er niets meer aan de hand is.

U kunt ook de stappen in de probleemoplosser voor gehackte sites volgen om te controleren of uw site nog gehackte content bevat.

Hoe voorkom ik dat ik opnieuw word gehackt?

Het oplossen van beveiligingsproblemen op uw site is een essentiële laatste stap om uw site helemaal te herstellen. Uit een recent onderzoek is gebleken dat 12% van de gehackte sites binnen dertig dagen opnieuw wordt gehackt. Het is handig om precies te weten hoe uw site is gehackt. Lees de gids met de meest voorkomende manieren waarop websites worden gehackt door spammers om uw onderzoek te starten. Als u echter niet kunt achterhalen hoe uw site is gehackt, volgt hier een checklist met dingen die u kunt doen om het aantal beveiligingsproblemen op uw site te verminderen:

  • Scan uw computer regelmatig: Gebruik een vertrouwde virusscanner om te controleren op virussen of beveiligingsproblemen.
  • Wijzig uw wachtwoorden regelmatig: Door de wachtwoorden voor al uw websiteaccounts (zoals accounts voor uw hostingprovider, FTP en CMS) regelmatig te wijzigen, kunt u voorkomen dat onbevoegden toegang krijgen tot uw site. Het is belangrijk om een sterk, uniek wachtwoord voor elk account te gebruiken.
  • Gebruik authenticatie in twee stappen (2FA): Overweeg 2FA in te schakelen voor elke service waarbij u moet inloggen. Met 2FA is het voor hackers moeilijker om in te loggen, zelfs als ze uw wachtwoord hebben buitgemaakt.
  • Update regelmatig uw CMS, plug-ins, extensies en modules: Hopelijk heeft u deze stap al uitgevoerd. Veel sites worden gehackt vanwege verouderde software die op een site wordt gebruikt. Sommige contentmanagementsystemen bieden ondersteuning voor automatische updates.
  • Overweeg u aan te melden voor een beveiligingsservice om uw site in de gaten te houden: Er zijn veel goede services beschikbaar die u tegen lage kosten kunnen helpen bij het controleren van uw site. U kunt zich voor deze services aanmelden om uw site veilig te houden.

Aanvullende bronnen

Als u nog steeds problemen ondervindt bij het herstellen van uw site, zijn er nog een aantal bronnen die hulp kunnen bieden.

Deze tools scannen uw site en kunnen problematische content opsporen. Google voert deze tools niet uit en biedt geen ondersteuning voor deze tools, behalve voor VirusTotal.

VirusTotal, Aw-snap.info, Sucuri Site Check, Quttera: Dit zijn een aantal tools die uw site kunnen controleren op problematische content. Deze scanners bieden geen garantie dat ze elk type problematische content kunnen opsporen.

Hier volgen enkele aanvullende bronnen van Google die u kunnen helpen: