解决日语关键字黑客入侵问题

本指南专门针对的是一种在您的网站上创建自动生成的日语文字的黑客行为,我们称之为日语关键字黑客行为。我们专为使用热门内容管理系统 (CMS) 的用户设计,但即使您并未使用 CMS,本指南也会对您有所帮助。

我们希望确保本指南确实对您有所帮助。 留言反馈,帮助我们改进!

识别此类黑客行为

日语关键字黑客行为通常会在您的网站上以随机生成的目录名(例如 http://example.com/ltjmnjp/341.html)使用自动生成的日语文字的新网页。这些网页通过指向销售假冒品牌商品的商店的联属营销链接变现,然后显示在 Google 搜索中。下面的示例展示了此类网页的外观:

包含日语关键字黑客行为的网页示例。
日语关键字黑客行为生成的一页文字。

对于此类黑客行为,黑客通常会在 Search Console 中将自己添加为资源所有者,以便通过操纵您网站的设置(如地理位置定位或站点地图)来提高利润。如果您收到一条通知,提示陌生人在 Search Console 中验证了您的网站,则很有可能是您的网站遭到了黑客入侵。

首先,请检查 Search Console 中的安全问题工具,看看 Google 是否在您的网站上发现了上述任何被黑网页。有时,您也可以通过打开 Google 搜索窗口并输入 site:_your site url_(使用您网站的根级网址)来发现此类网页。系统会显示 Google 已针对您的网站编入索引的网页,包括被黑网页。您可以翻阅几页搜索结果,看看能否发现任何异常网址。如果您在 Google 搜索中没有看到任何被黑内容,请使用其他搜索引擎搜索相同的搜索字词。如下所示:

搜索结果中的被黑网站示例。
被黑网页会显示在 Google 搜索结果中。

通常情况下,当您点击指向被黑网页的链接时,要么会被重定向到其他网站,要么会看到满是乱码内容的网页。不过,您可能还会看到一条表明网页不存在的消息(例如 404 错误)。别被骗了!如果网页仍然被黑,黑客会试图诱使您认为相应网页已消失或修复。为此,他们会隐藏真实内容。在网址检查工具中输入您网站的网址,检查是否存在隐藏真实内容的问题。借助“Google 抓取方式”工具,您可以查看潜在的隐藏内容。

如果您看到这些问题,则表明您的网站很可能受到了此类黑客行为的影响。

解决黑客入侵问题

开始之前,请先为任何文件创建离线副本,然后再将其移除,以备日后需要恢复这些文件时使用。在开始执行清理流程之前,最好先备份您的整个网站。为此,您可以将服务器上的所有文件保存到服务器之外的位置,或搜索最适合您的特定内容管理系统 (CMS) 的备份选项。如果您使用的是 CMS,还请备份数据库。

从 Search Console 中移除新建的账号

如果您发现有陌生的新所有者被添加到您的 Search Console 帐号中,请尽快撤消他们的访问权限。您可以在 Search Console 验证页面上查看您网站的哪些用户通过了验证。点击该网站的“验证详情”即可查看所有已通过验证的用户。

如需从 Search Console 中移除所有者,请参阅管理用户、所有者和权限帮助中心的“移除所有者”部分。您需要移除关联的验证令牌,该令牌通常是网站根目录上的 HTML 文件或动态生成的模仿 HTML 文件的 .htaccess 文件。

如果您在网站上找不到 HTML 验证令牌,请在 .htaccess 文件中检查重写规则。重写规则将如下所示:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

如需从 .htaccess 文件中移除动态生成的验证令牌,请按以下步骤操作:

检查您的 .htaccess 文件(2 个步骤)

除了使用 .htaccess 文件创建动态生成的验证令牌之外,黑客还常常使用 .htaccess 规则来重定向用户或创建乱码的垃圾内容网页。除非您有自定义 .htaccess 规则,否则请考虑将 .htaccess 替换为全新副本。

第 1 步

在您的网站上找到 .htaccess 文件。如果您不确定在哪里可以找到该文件,并且使用的是 WordPress、Joomla 或 Drupal 等 CMS,请在搜索引擎中同时搜索“.htaccess 文件位置”以及您所用的 CMS 的名称。您可能会看到多个 .htaccess 文件,具体取决于您的网站。列出所有 .htaccess 文件位置。

第 2 步

将所有 .htaccess 文件替换为 .htaccess 文件的简洁版本或默认版本。您通常可以通过搜索“默认 .htaccess 文件”和您的 CMS 的名称找到 .htaccess 文件的默认版本。对于具有多个 .htaccess 文件的网站,请查找每个文件的干净版本并替换它们。

如果不存在默认的 .htaccess,并且您从未在网站上配置过 .htaccess 文件,那么您在网站上找到的 .htaccess 文件可能是恶意文件。为保险起见,请离线保存 .htaccess 文件的副本,并从您的网站中删除 .htaccess 文件。

移除所有恶意文件和脚本(共 4 步)

识别恶意文件可能既复杂又耗时。请检查文件时不要着急。如果您尚未备份网站上的文件,这便是备份的好时机。在 Google 上搜索“备份网站”并输入您的 CMS 的名称,以查找有关如何备份网站的说明。

第 1 步

如果您使用 CMS,请重新安装 CMS 默认分发中附带的所有核心(默认)文件,以及您已添加的所有内容(例如主题、模块或插件)。这有助于确保这些文件中不含被黑内容。您可以在 Google 上搜索“重新安装”,并加上您的 CMS 名称,以查找重新安装说明。如果您有任何插件、模块、扩展程序或主题,请务必也重新安装这些内容。

第 2 步

黑客通常会修改站点地图或添加新的站点地图,以便更快速地将其网址编入索引。如果您之前有站点地图文件,请检查该文件是否存在任何可疑链接,并将其从站点地图中移除。如果存在任何您不记得向网站添加过的站点地图文件,请仔细检查它们,如果它们只包含垃圾内容网址,请将其移除。

第 3 步

查找任何其他恶意或被盗用的文件。您可能在前两个步骤中已经移除了所有恶意文件,但如果网站上还有其他文件遭到入侵,我们最好执行下面几个步骤。

不要因为认为需要打开并查看每个 PHP 文件而感到太大压力。首先,请创建您要调查的可疑 PHP 文件的列表。以下几种方法可用于确定哪些 PHP 文件可疑:

  • 如果您已重新加载 CMS 文件,请只查看不属于默认 CMS 文件或文件夹的文件。这样应该可以排除大量 PHP 文件,而只需检查少数文件。
  • 按最后修改日期对网站上的文件进行排序。查找在您首次发现网站遭到入侵后的几个月内遭到修改的文件。
  • 按大小对网站上的文件进行排序。查找是否有任何异常大的文件。

第 4 步

创建好可疑 PHP 文件的列表后,请检查这些文件是否包含恶意内容。如果您对 PHP 文件不熟悉,该流程可能会消耗更多时间,因此不妨重温一些 PHP 文档。 如果您是刚开始接触编码,建议您获取帮助。与此同时,您可以通过一些基本模式来查找恶意文件。

如果您使用 CMS,并且没有直接修改其 PHP 文件的习惯,请将您服务器上的文件与随 CMS 以及任何插件和主题打包的默认文件列表进行比较。查找不应包含的文件以及大于默认版本的文件。

扫描您已经发现的可疑文件,以查找经过混淆处理的代码块。这种代码可能看起来像是看似混乱的字母和数字的组合,通常后跟一组 PHP 函数,例如 base64_decoderot13evalstrrevgzinflate。下面是一个代码块示例。有时,所有此代码会被填充到一长串文本中,使其看起来小于实际大小。

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

检查您的网站是否已清理

删除被黑文件之后,请检查您的辛苦工作是否得到了回报。还记得您之前发现的那些乱码网页吗?再次使用“Google 抓取方式”工具检查这些网页,看它们是否仍然存在。如果它们在“Google 抓取方式”中的响应为“未找到”,则说明您的网站很可能处于良好状态,您可以继续修复网站上的漏洞。

如何防止再次遭到入侵?

修复网站上的漏洞是修复网站的关键最后一步。最近的一项研究发现,20% 的被黑网站会在一天内再次遭到入侵。了解网站遭到入侵的具体方式非常有用。请阅读我们的垃圾内容发布者最常用的网站入侵方法指南以开始调查问题。不过,如果您无法确定网站是如何遭到入侵的,可以参考下方的核对清单,了解如何减少网站上的漏洞。

  • 定期扫描计算机:使用任何热门的病毒扫描程序检查是否存在病毒或漏洞。
  • 定期更改密码:定期更改用于所有网站帐号(例如托管服务提供商、FTP 和 CMS)的密码可以阻止攻击者未经授权地访问您的网站。请务必为每个帐号创建一个安全系数高且独一无二的密码。
  • 使用双重身份验证 (2FA):考虑对任何需要您登录的服务启用双重身份验证功能。双重身份验证功能让黑客更难以登录,即使他们成功窃取了您的密码也没关系。
  • 定期更新 CMS、插件、扩展程序和模块:希望您已经执行了此步骤。很多网站遭到入侵 是因为运行了过期软件某些内容管理系统支持自动更新功能。
  • 考虑订阅安全服务以监控您的网站:有许多优秀的服务可以帮助您监控网站,并且只需支付少量的费用。建议您注册此类代码,以确保您的网站安全。

其他资源

如果您在修复网站时仍然遇到问题,还有一些其他资源可能会对您有所帮助。

这些工具会扫描您的网站,并可能会找出有问题的内容。 Google 不会运行或支持除 VirusTotal 以外的其他所有工具。

这些工具只是其中一些工具,也许它们能够扫描您的网站,找出有问题的内容。但请注意,这些扫描工具无法保证一定能找出每一类有问题的内容。

下面是 Google 提供的可为您提供帮助的其他资源: