Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

#NoHacked: исправление взлома введенного тарабарского URL

Сегодня в рамках нашей кампании #NoHacked мы обсудим, как исправить взломанный URL-адрес, о котором мы писали на прошлой неделе. Даже если ваш сайт не заражен этим конкретным типом взлома, многие из этих шагов могут быть полезны для исправления других типов взломов. Следите за обсуждениями в Twitter и Google+, используя тег #NoHacked. (Часть 1, часть 2, часть 3, часть 4)

  • Временно отключите свой сайт от сети
  • Обработка вашего сайта
  • Следующие шаги
  • Приложение

Временно отключите свой сайт от сети

Временное отключение вашего сайта предотвратит переход посетителей вашего сайта на взломанные страницы и даст вам время должным образом исправить ваш сайт. Если вы продолжаете поддерживать свой сайт в режиме онлайн, вы рискуете снова подвергнуться компрометации при очистке сайта.

Обработка вашего сайта

Следующие несколько шагов требуют, чтобы вам было удобно вносить технические изменения на свой сайт. Если вы недостаточно знакомы со своим сайтом, чтобы вносить эти изменения, возможно, лучше проконсультироваться или нанять специалиста. Тем не менее, ознакомление с этими шагами все равно будет полезно.

Прежде чем вы начнете исправлять свой сайт, мы советуем вам создать резервную копию вашего сайта. (Эта резервная версия по-прежнему будет содержать взломанный контент и должна использоваться только в том случае, если вы случайно удалите важный файл.) Если вы не уверены, как создать резервную копию своего сайта, обратитесь за помощью к своему хостинг-провайдеру или обратитесь к документации по вашей системе управления контентом (CMS). Выполняя эти действия, каждый раз, когда вы удаляете файл, обязательно сохраняйте копию этого файла.

Проверка вашего .htaccess файла

С целью манипулирования вашим сайтом этот тип взлома создает или изменяет содержимое вашего .htaccess файла. Если вы не уверены, где найти ваш .htaccess файл, обратитесь к документации по вашему серверу или CMS.

Проверьте содержимое вашего .htaccess файла на наличие подозрительного содержимого. Если вы не уверены, как интерпретировать содержимое .htaccess файла, вы можете прочитать об этом на Apache.org документация, спросите на справочном форуме или проконсультируйтесь с экспертом. Вот пример .htaccess модифицированного этим взломом:

<IfModule mod_rewrite.c>
RewriteEngine On
#Visitors that visit your site from Google will be redirected
RewriteCond %{HTTP_REFERER} google\.com
#Visitors are redirected to a malicious PHP file called happypuppy.php
RewriteRule (.*pf.*) /happypuppy.php?q=$1 [L]
</IfModule>

Выявление других вредоносных файлов

Наиболее распространенными типами файлов, которые изменяются или внедряются в результате этого взлома, являются файлы JavaScript и PHP. Хакеры обычно используют два подхода.: Первый — это вставка новых файлов PHP или JavaScript на ваш сервер. Иногда вставленные файлы могут называться как-то очень похоже на законный файл на вашем сайте, например, wp-cache.php по сравнению с законным файлом wp_cache.php. Второй подход заключается в изменении законных файлов на вашем сервере и вставке вредоносного контента в эти файлы. Например, если у вас на сайте есть файл JavaScript шаблона или плагина, хакеры могут добавить в файл вредоносный JavaScript.

Например, на www.example.com вредоносный файл с именемhappypuppy.php, идентифицированный ранее в .htaccess файле, был внедрен в папку на сайте. Однако хакеры также повредили законный файл JavaScript с именем json2.js, добавив в файл вредоносный код. Вот пример поврежденного json2.js файла. Вредоносный код выделен красным и добавлен в самый низ json2.js файла:

Чтобы эффективно отслеживать вредоносные файлы, вам необходимо понимать функции файлов JavaScript и PHP на вашем сайте. Возможно, вам потребуется обратиться к документации по вашей CMS, которая поможет вам. Как только вы узнаете, что делают файлы, вам будет проще отслеживать вредоносные файлы, которым не место на вашем сайте.

Кроме того, проверьте свой сайт на наличие недавно измененных файлов. Файлы шаблонов, которые были недавно изменены, следует тщательно изучить. Инструменты, которые помогут вам интерпретировать запутанные файлы PHP, можно найти в приложении.

Удаление вредоносного контента

Как упоминалось ранее, создайте надлежащую резервную копию содержимого вашего сайта, прежде чем удалять или изменять какие-либо файлы. Если вы регулярно делаете резервные копии своего сайта, очистить его может быть так же просто, как восстановить чистую версию из резервной копии.

Однако, если вы не создаете регулярные резервные копии своего сайта, у вас есть несколько альтернатив. Во-первых, удалите все вредоносные файлы, которые были вставлены на ваш сайт. Например, на странице www.example.com вы должны удалить happypuppy.php файл. Для поврежденных файлов PHP или JavaScript, таких как json2.js, вам придется загрузить чистую версию этих файлов на свой сайт. Если вы используете CMS, рассмотрите возможность перезагрузки новой копии основной CMS и файлов плагинов на свой сайт.

Выявление и исправление уязвимости

После удаления вредоносного файла вам нужно будет найти и устранить уязвимость, которая позволила скомпрометировать ваш сайт, иначе вы рискуете, что ваш сайт будет взломан снова. Уязвимость может быть любой — от украденного пароля до устаревшего веб-программного обеспечения. Обратитесь к справке по взлому веб-мастеров Google, чтобы узнать, как выявить и устранить уязвимость. Если вы не можете выяснить, как был взломан ваш сайт, вам следует сменить пароли для всех ваших учетных данных, обновить все ваше веб-программное обеспечение и серьезно подумать о получении дополнительной помощи, чтобы убедиться, что все в порядке.

Следующие шаги

После того, как вы закончите очистку своего сайта, используйте инструмент «Выборка от имени Google», чтобы проверить, по-прежнему ли в Google отображаются взломанные страницы. Вам нужно будет снова запустить свой сайт для тестирования с помощью функции «Выборка от имени Google». Не забудьте также проверить свою домашнюю страницу на наличие взломанного контента. Если взломанный контент исчез, поздравляем, ваш сайт должен быть чистым! Если инструмент Fetch as Google по-прежнему видит взломанный контент на этих взломанных страницах, вам все еще предстоит поработать. Проверьте еще раз, нет ли вредоносных файлов PHP или JavaScript, которые вы могли пропустить.

Верните свой сайт в онлайн-режим, как только вы убедитесь, что ваш сайт чист и уязвимость устранена. Если на вашем сайте было совершено ручное действие, вам следует подать запрос на повторное рассмотрение в Search Console. Кроме того, подумайте о способах защиты вашего сайта от будущих атак. Подробнее о том, как обезопасить свой сайт от будущих атак, вы можете прочитать в Справочном центре Google для взломанных веб-мастеров.

Мы надеемся, что этот пост помог вам лучше понять, как исправить ваш сайт из-за взлома тарабарского URL. Обязательно следите за нашими кампаниями в социальных сетях и делитесь любыми советами или хитростями по обеспечению безопасности в Интернете с хэштегом #nohacked.

Если у вас есть какие-либо дополнительные вопросы, вы можете задать их на форумах помощи веб-мастерам, где сообщество веб-мастеров поможет ответить на ваши вопросы. Вы также можете присоединиться к нашей беседе о безопасности в эфире 26 августа.

Приложение

Эти инструменты могут оказаться полезными. Google их не запускает и не поддерживает. PHP Decoder, UnPHP: Хакеры часто искажают PHP-файлы, чтобы их было труднее читать. Используйте эти инструменты для очистки PHP-файлов, чтобы лучше понимать, что делает PHP-файл.