The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

แก้ไขการแฮ็กแบบใช้คีย์เวิร์ดภาษาญี่ปุ่น

คำแนะนำนี้ใช้สำหรับการแฮ็กประเภทที่ใส่ข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติลงในไซต์ ซึ่งเราจะเรียกว่าการแฮ็กแบบใช้คีย์เวิร์ดภาษาญี่ปุ่น คำแนะนำนี้จัดทำขึ้นสำหรับผู้ใช้ระบบจัดการเนื้อหา (CMS) ยอดนิยม แต่ก็มีประโยชน์แม้ว่าคุณจะไม่ได้ใช้ CMS ก็ตาม

หมายเหตุ: ถ้าไม่แน่ใจว่าไซต์ของคุณถูกแฮ็กหรือไม่ ให้เริ่มด้วยการอ่านคำแนะนำเกี่ยวกับวิธีตรวจสอบว่าไซต์ถูกแฮ็กหรือไม่

สารบัญ

การระบุประเภทของการแฮ็ก

การแฮ็กโดยใช้คีย์เวิร์ดภาษาญี่ปุ่นมักสร้างหน้าเว็บใหม่ที่มีข้อความภาษาญี่ปุ่นที่สร้างขึ้นโดยอัตโนมัติในไซต์ โดยใช้ชื่อไดเรกทอรีที่สร้างขึ้นแบบสุ่ม (เช่น http://example.com/ltjmnjp/341.html) หน้าเหล่านี้จะสร้างรายได้ด้วยการใช้ลิงก์แอฟฟิลิเอตที่ไปยังร้านค้าที่จำหน่ายสินค้าแบรนด์เนมปลอม ซึ่งจะปรากฏใน Google Search หน้าเว็บดังกล่าวมีลักษณะดังนี้

ในการแฮ็กประเภทนี้ แฮ็กเกอร์มักเพิ่มตัวเองเป็นเจ้าของพร็อพเพอร์ตี้ใน Search Console เพื่อเพิ่มผลกำไรด้วยการจัดการการตั้งค่าของไซต์อย่างลับๆ เช่น การกำหนดเป้าหมายตามภูมิศาสตร์หรือแผนผังไซต์ หากคุณได้รับการแจ้งเตือนว่ามีผู้ที่คุณไม่รู้จักได้ยืนยันไซต์ของคุณใน Search Console ก็มีความเป็นไปได้สูงว่าไซต์ได้ถูกแฮ็กแล้ว

เริ่มต้นด้วยการตรวจสอบเครื่องมือปัญหาด้านความปลอดภัยใน Search Console เพื่อดูว่า Google ค้นพบหน้าเว็บที่ถูกแฮ็กในไซต์บ้างหรือไม่ นอกจากนี้ คุณยังพบเจอหน้าเว็บลักษณะนี้ได้ด้วยการเปิด Google Search และค้นหา site:[your site root URL] คำสั่งนี้จะแสดงหน้าต่างๆ ที่ Google จัดทำดัชนีให้กับไซต์คุณ รวมถึงหน้าที่ถูกแฮ็กด้วย เปิดดูผลการค้นหาเร็วๆ สัก 2-3 หน้าเพื่อดูว่าเจอ URL ที่ผิดปกติบ้างไหม ถ้าไม่พบเนื้อหาที่ถูกแฮ็กใน Google Search ให้ใช้ข้อความค้นหาเดียวกันนี้กับเครื่องมือค้นหาอื่น เนื่องจากเครื่องมือค้นหาอื่นๆ อาจแสดงเนื้อหาที่ถูกแฮ็กซึ่ง Google ได้นำออกจากดัชนีไปแล้ว โดยอาจมีลักษณะดังนี้

โปรดสังเกตว่าผลการค้นหานี้มีหลายหน้าที่เจ้าของไซต์ไม่ได้สร้างขึ้น ถ้าดูคำอธิบายโดยละเอียด คุณจะเห็นตัวอย่างข้อความภาษาญี่ปุ่นที่การแฮ็กประเภทนี้สร้างขึ้น

เมื่อไปที่หน้าเว็บที่ถูกแฮ็ก คุณอาจเห็นข้อความที่บ่งบอกว่าหน้านี้ไม่มีอยู่จริง (เช่น ข้อผิดพลาด 404) แต่อย่าได้หลงกลไป แฮ็กเกอร์จะพยายามหลอกคุณว่ามีการแก้ไขไซต์แล้ว โดยทำให้คุณเข้าใจว่าหน้าที่ถูกแฮ็กได้หายไปหรือมีการแก้ไขแล้ว ซึ่งทำได้ด้วยการปิดบังเนื้อหา ให้ตรวจหาการปิดบังเนื้อหาโดยป้อน URL ของไซต์ในเครื่องมือโปรแกรม Googlebot จำลองของ Search Console ซึ่งจะแสดงเนื้อหาที่ซ่อนอยู่ข้างใต้ให้คุณเห็น

การแก้ไขการแฮ็ก

ก่อนที่จะเริ่ม ให้สร้างสำเนาแบบออฟไลน์ของไฟล์ก่อนที่จะลบไฟล์ออก เพื่อเผื่อไว้ในกรณีที่คุณต้องการนำกลับเข้าระบบในภายหลัง แต่ทางที่ดี คุณควรจะสำรองไซต์ไว้ทั้งไซต์ก่อนที่จะเริ่มขั้นตอนการทำความสะอาด ซึ่งทำได้โดยบันทึกไฟล์ทั้งหมดในเซิร์ฟเวอร์เก็บไว้นอกเซิร์ฟเวอร์ หรือหาตัวเลือกที่ดีที่สุดในการสำรองข้อมูลสำหรับระบบจัดการเนื้อหา (CMS) ของคุณ หากใช้ CMS คุณควรสำรองฐานข้อมูลไว้ด้วย

นำบัญชีที่สร้างใหม่ออกจาก Search Console

หากมีการเพิ่มเจ้าของใหม่ซึ่งคุณไม่รู้จักลงในบัญชี Search Console ให้เพิกถอนสิทธิ์การเข้าถึงของบุคคลดังกล่าวโดยเร็วที่สุด คุณสามารถตรวจสอบได้ว่ามีผู้ใช้รายใดบ้างที่ได้รับการยืนยันให้เข้าถึงไซต์ของคุณในหน้าการยืนยันของ Search Console คลิก "รายละเอียดการยืนยัน" ของไซต์เพื่อดูผู้ใช้ที่ได้รับการยืนยันทั้งหมด

หากต้องการนำเจ้าของรายใดก็ตามออกจาก Search Console ให้อ่านหัวข้อ "นำเจ้าของออก" ในหน้าการจัดการผู้ใช้ เจ้าของ และสิทธิ์ต่างๆ ในศูนย์ช่วยเหลือ คุณจะต้องนำโทเค็นการยืนยันที่เกี่ยวข้องออก ซึ่งปกติแล้วจะเป็นไฟล์ HTML ในไดเรกทอรีรากของไซต์ หรือไฟล์ .htaccess ที่สร้างขึ้นแบบไดนามิกโดยเลียนแบบไฟล์ HTML

หากคุณไม่พบโทเค็นการยืนยันที่เป็นไฟล์ HTML ในไซต์ ให้หากฎการเขียนทับในไฟล์ .htaccess กฎการเขียนทับจะมีลักษณะดังนี้

  RewriteEngine On
  RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L] 

หมายเหตุ: โดยปกติแล้วคุณจะตรวจสอบได้ว่านำโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกออกสำเร็จไหมโดยไปที่ไฟล์โทเค็นการยืนยันที่จำลองขึ้น เช่น wwww.example.com/google[random number and letters].html ตัวอย่างเช่น หากไซต์ของคุณคือ www.brandonsbaseballcards.com ให้ลองไปที่ www.brandonsbaseballcards.com/google1234.html ถ้าหน้าดังกล่าวส่ง HTTP 404 กลับมา ก็น่าจะมีการแก้ไขโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกแล้ว

หากต้องการนำโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกออกจากไฟล์ .htaccess ให้ทำตามขั้นตอนด้านล่าง

ตรวจสอบไฟล์ .htaccess (2 ขั้นตอน)

นอกเหนือจากการใช้ไฟล์ .htaccess เพื่อสร้างโทเค็นการยืนยันที่สร้างขึ้นแบบไดนามิกแล้ว แฮ็กเกอร์ยังมักจะใช้กฎ .htaccess เพื่อเปลี่ยนเส้นทางผู้ใช้หรือสร้างหน้าสแปมที่เต็มไปด้วยคำที่ไม่มีความหมายอีกด้วย ถ้าคุณไม่มีกฎ .htaccess ที่กำหนดเอง ให้ลองเอาสำเนาฉบับใหม่ทั้งหมดทับไฟล์ .htaccess ไปเลย

ขั้นตอนที่ 1

ค้นหาไฟล์ .htaccess ในไซต์ ถ้าไม่แน่ใจว่าอยู่ที่ใด และคุณใช้ CMS อย่างเช่น WordPress, Joomla หรือ Drupal ให้ค้นหา "ตำแหน่งไฟล์ .htaccess" ในเครื่องมือค้นหาควบคู่กับชื่อของ CMS คุณอาจมีไฟล์ .htaccess หลายไฟล์ ซึ่งขึ้นอยู่กับไซต์ของคุณ ให้จดตำแหน่งของไฟล์ .htaccess ทั้งหมดไว้

ขั้นตอนที่ 2

แทนที่ไฟล์ .htaccess ทั้งหมดด้วยไฟล์ .htaccess เวอร์ชันที่สะอาดหรือเป็นค่าเริ่มต้น ปกติแล้วคุณจะหาไฟล์ .htaccess ที่เป็นค่าเริ่มต้นได้โดยค้นหา "ไฟล์ .htaccess เริ่มต้น" และชื่อของ CMS และสำหรับไซต์ที่มีไฟล์ .htaccess หลายไฟล์ ให้หาเวอร์ชันที่สะอาดของแต่ละไฟล์ แล้วนำไปแทนที่

หมายเหตุ: ไฟล์ .htaccess มักเป็น "ไฟล์ที่ซ่อนอยู่" อย่าลืมเปิดให้แสดงไฟล์ที่ซ่อนอยู่ เมื่อคุณค้นหาไฟล์

นำไฟล์และสคริปต์ที่เป็นอันตรายทั้งหมดออก (4 ขั้นตอน)

การระบุไฟล์ที่เป็นอันตรายอาจเป็นเรื่องยุ่งยากและใช้เวลาหลายชั่วโมง ให้ใช้เวลาอย่างเต็มที่ในการตรวจสอบไฟล์ ถ้าคุณยังไม่ได้สำรองไฟล์ในไซต์ ก็ควรทำตอนนี้เลย ให้ค้นหาด้วยคำว่า "สำรองข้อมูลในไซต์" และชื่อ CMS ของคุณใน Google เพื่อหาคำแนะนำเกี่ยวกับวิธีสำรองข้อมูลในไซต์

ขั้นตอนที่ 1

ถ้าคุณใช้ CMS ให้ติดตั้งไฟล์หลักทั้งหมด (ที่เป็นค่าเริ่มต้น) ที่อยู่ในชุดแพ็กเกจที่เป็นค่าเริ่มต้นของ CMS ซึ่งช่วยให้มั่นใจได้ว่าไฟล์เหล่านี้ปลอดจากเนื้อหาที่ถูกแฮ็ก คุณสามารถค้นหาด้วยคำว่า "ติดตั้งใหม่" และชื่อ CMS ใน Google เพื่อหาคำแนะนำเกี่ยวกับขั้นตอนการติดตั้งใหม่ ถ้าคุณมีปลั๊กอิน โมดูล ส่วนขยาย หรือธีม อย่าลืมติดตั้งรายการทั้งหมดนี้อีกครั้งด้วย

การติดตั้งไฟล์หลักอีกครั้งอาจทำให้การปรับแต่งที่คุณได้ทำไว้ในกรณีที่มีการแก้ไขไฟล์โดยตรงหายไปทั้งหมด โปรดสร้างสำเนาฐานข้อมูลและไฟล์ทั้งหมดไว้เพื่อเป็นข้อมูลสำรองก่อนที่จะติดตั้งใหม่

ขั้นตอนที่ 2

แฮ็กเกอร์มักจะปรับเปลี่ยนแผนผังไซต์หรือเพิ่มแผนผังไซต์ใหม่เพื่อให้มีการจัดทำดัชนี URL ของตนรวดเร็วยิ่งขึ้น ถ้าก่อนหน้านี้คุณมีไฟล์แผนผังไซต์ ให้หาลิงก์ที่น่าสงสัยในไฟล์ แล้วนำออกจากแผนผังไซต์ หากมีไฟล์แผนผังไซต์ที่คุณจำไม่ได้ว่าได้เพิ่มลงในไซต์ ให้ตรวจสอบอีกครั้ง และถ้าไฟล์นั้นมีเฉพาะ URL ที่เป็นสแปมเท่านั้น ก็ให้นำออกไป

ขั้นตอนที่ 3

มองหาไฟล์ที่เป็นอันตรายหรือไฟล์ที่ถูกแฮ็กที่ยังหลงเหลืออยู่ คุณอาจนำไฟล์ที่เป็นอันตรายทั้งหมดออกไปแล้วใน 2 ขั้นตอนก่อนหน้านี้ แต่ก็ควรจะทำต่อในขั้นตอนต่อๆ ไป เนื่องจากอาจมีไฟล์อื่นๆ ที่ถูกแฮ็กหลงเหลืออยู่ในไซต์

อย่าเพิ่งกังวลไปเพราะคิดว่าจะต้องเปิดและตรวจสอบไฟล์ PHP ทุกๆ ไฟล์ ให้เริ่มด้วยการสร้างรายชื่อไฟล์ PHP ที่น่าสงสัยที่คุณต้องการตรวจสอบ ต่อไปนี้เป็นตัวอย่างวิธีพิจารณาว่าไฟล์ PHP ใดบ้างน่าสงสัย

  • เนื่องจากคุณโหลดไฟล์ CMS มาใหม่แล้ว ให้ดูเฉพาะไฟล์ที่ไม่ได้เป็นส่วนหนึ่งของไฟล์หรือโฟลเดอร์ CMS ที่เป็นค่าเริ่มต้น ซึ่งวิธีนี้จะทำให้ข้ามไฟล์ PHP ได้เป็นจำนวนมาก และเหลือไฟล์ที่ต้องตรวจสอบเพียงเล็กน้อย
  • จัดเรียงไฟล์ในไซต์ตามวันที่แก้ไขล่าสุด มองหาไฟล์ที่มีการแก้ไขในช่วงเวลาที่ห่างจากเวลาที่คุณพบว่าไซต์ถูกแฮ็กเป็นครั้งแรกไม่กี่เดือน
  • จัดเรียงไฟล์ในไซต์ตามขนาด มองหาไฟล์ที่มีขนาดใหญ่ผิดปกติ

หมายเหตุ: ผู้โจมตีมักแทรกสคริปต์ลงในไฟล์ต่อไปนี้ index.php, wp-load.php, 404.php และ view.php

ขั้นตอนที่ 4

เมื่อคุณมีรายการไฟล์ PHP ที่น่าสงสัยเรียบร้อยแล้ว ให้ตรวจดูว่าไฟล์เหล่านั้นเป็นอันตรายหรือไม่ หากคุณไม่คุ้นเคยกับ PHP ขั้นตอนนี้อาจใช้เวลามากขึ้น ดังนั้นโปรดลองอ่านเอกสารประกอบเกี่ยวกับ PHP เพื่อเป็นการทบทวน ถ้าคุณไม่เคยเขียนโค้ดมาก่อนเลย ขอแนะนำให้ขอความช่วยเหลือ แต่ในระหว่างนี้ คุณสามารถมองหารูปแบบพื้นฐานบางอย่างเพื่อระบุไฟล์ที่เป็นอันตราย

ถ้าคุณใช้ CMS และไม่อยากแก้ไขไฟล์เหล่านี้โดยตรง ให้เปรียบเทียบไฟล์ในเซิร์ฟเวอร์กับรายการไฟล์เริ่มต้นที่อยู่ในชุดแพ็กเกจของ CMS รวมทั้งปลั๊กอินและธีมต่างๆ มองหาไฟล์ที่ไม่ได้อยู่ในแพ็กเกจ และไฟล์ที่ดูเหมือนว่าจะมีขนาดใหญ่กว่าค่าเริ่มต้น

ตรวจสอบไฟล์ที่น่าสงสัยที่คุณได้ระบุไว้แล้วเพื่อหาบล็อกโค้ดที่ดูสับสน ซึ่งอาจดูเหมือนตัวอักษรและตัวเลขที่ผสมปนเปกันอย่างยุ่งเหยิง โดยปกติแล้วโค้ดที่ดูสับสนนี้มักจะนำหน้าด้วยฟังก์ชัน PHP ต่างๆ ที่รวมเข้าด้วยกัน เช่น base64_decode, rot13, eval, strrev, gzinflate ซึ่งบางครั้งแม้แต่ฟังก์ชันเหล่านี้ก็ถูกทำให้ดูสับสนด้วยเช่นกัน ต่อไปนี้เป็นตัวอย่างลักษณะของบล็อกโค้ดดังกล่าว บางครั้งโค้ดเหล่านี้ทั้งหมดจะถูกอัดอยู่ด้วยกันในข้อความยาวๆ บรรทัดเดียว ซึ่งทำให้ดูเหมือนมีขนาดเล็กกว่าที่เป็นจริง

  $O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
  %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
  $OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

ตรวจดูว่าไซต์สะอาดแล้วหรือไม่

เมื่อกำจัดไฟล์ที่ถูกแฮ็กออกไปแล้ว ให้ตรวจสอบว่าการทำงานหนักของคุณให้ผลคุ้มค่าหรือไม่ คุณจำหน้าที่เต็มไปด้วยคำที่ไม่มีความหมายที่พบก่อนหน้านี้ได้ไหม ให้ใช้โปรแกรม Googlebot จำลองอีกครั้งเพื่อดูว่าหน้านั้นยังอยู่หรือไม่ ถ้าผลจากโปรแกรม Googlebot จำลองออกมาว่า "ไม่พบ" ก็แสดงว่าไซต์น่าจะไร้ปัญหาใดๆ แล้ว

นอกจากนี้ คุณยังทำตามขั้นตอนในเครื่องมือแก้ปัญหาเว็บไซต์ที่ถูกแฮ็ก เพื่อตรวจสอบว่ายังมีเนื้อหาที่ถูกแฮ็กหลงเหลืออยู่ในไซต์หรือไม่ได้อีกด้วย

ฉันจะป้องกันการถูกแฮ็กอีกได้อย่างไร

การแก้ไขช่องโหว่ในไซต์เป็นขั้นตอนสุดท้ายที่จำเป็นสำหรับการแก้ปัญหาไซต์ ผลการวิจัยเมื่อเร็วๆ นี้พบว่า 12% ของไซต์ที่ถูกแฮ็กได้ถูกแฮ็กซ้ำภายใน 30 วัน การรู้อย่างแน่ชัดว่าไซต์ถูกแฮ็กได้อย่างไรจึงมีประโยชน์อย่างยิ่ง อ่านคำแนะนำเรื่องวิธีแฮ็กเว็บไซต์ที่นักส่งสแปมทำบ่อยที่สุดเพื่อเริ่มตรวจสอบ อย่างไรก็ตาม หากคุณหาไม่พบจริงๆ ว่าไซต์ถูกแฮ็กได้อย่างไร ให้ลองดูรายการตรวจสอบสิ่งที่คุณทำได้เพื่อลดช่องโหว่ในไซต์ ดังนี้

  • สแกนคอมพิวเตอร์เป็นประจำ: ใช้เครื่องมือสแกนไวรัสที่เชื่อถือได้เพื่อหาไวรัสหรือช่องโหว่
  • เปลี่ยนรหัสผ่านเป็นประจำ: การเปลี่ยนรหัสผ่านของบัญชีทั้งหมดของเว็บไซต์เป็นประจำ เช่น ผู้ให้บริการโฮสติ้ง, FTP และ CMS จะช่วยป้องกันการเข้าถึงไซต์โดยไม่ได้รับอนุญาตได้ ซึ่งสิ่งสำคัญคือต้องสร้างรหัสผ่านที่รัดกุมและไม่ซ้ำสำหรับแต่ละบัญชี
  • ใช้การตรวจสอบสิทธิ์แบบ 2 ปัจจัย (2FA): พิจารณาเปิดใช้ 2FA ในบริการใดก็ตามที่กำหนดให้คุณต้องลงชื่อเข้าสู่ระบบ ทั้งนี้ 2FA จะทำให้แฮ็กเกอร์ลงชื่อเข้าสู่ระบบได้ยากขึ้น แม้ว่าจะขโมยรหัสผ่านสำเร็จก็ตาม
  • อัปเดต CMS, ปลั๊กอิน, ส่วนขยาย และโมดูลเป็นประจำ: หวังว่าคุณจะได้ทำตามขั้นตอนนี้แล้ว ไซต์จำนวนมากถูกแฮ็กเนื่องจากใช้ซอฟต์แวร์ที่ล้าสมัยในไซต์ ทั้งนี้ CMS บางระบบรองรับการอัปเดตอัตโนมัติด้วย
  • พิจารณาสมัครใช้บริการรักษาความปลอดภัยเพื่อตรวจสอบไซต์: มีบริการชั้นเยี่ยมมากมายที่ช่วยคุณตรวจสอบไซต์โดยคิดค่าธรรมเนียมเพียงเล็กน้อย ลองลงทะเบียนกับผู้ให้บริการดังกล่าวเพื่อให้ไซต์ปลอดภัย

ทรัพยากรเพิ่มเติม

มีทรัพยากรอีกหลายรายการที่อาจช่วยคุณได้ หากคุณยังคงพบปัญหาในการแก้ไขไซต์

เครื่องมือเหล่านี้จะสแกนไซต์และอาจพบเนื้อหาที่มีปัญหา แต่นอกเหนือจาก VirusTotal แล้ว Google ไม่ใช้หรือรองรับเครื่องมืออื่นใดอีก

Virus Total, Aw-snap.info, Sucuri Site Check, Quttera: นี่เป็นเครื่องมือเพียงบางส่วนที่อาจสแกนพบเนื้อหาที่มีปัญหาในไซต์ โปรดทราบว่าโปรแกรมสแกนเหล่านี้ไม่สามารถรับประกันได้ว่าจะพบเนื้อหาที่มีปัญหาทุกประเภท

ทรัพยากรเพิ่มเติมจาก Google ที่ช่วยคุณได้มีดังนี้