Khắc phục tấn công bằng văn bản vô nghĩa

Hướng dẫn này được tạo riêng cho một kiểu tấn công thêm nhiều từ khoá các trang vô nghĩa vào trang web của bạn mà chúng tôi sẽ gọi là tấn công vô nghĩa. Bây giờ dành cho những người dùng Hệ thống quản lý nội dung (CMS), nhưng bạn sẽ thấy hướng dẫn này hữu ích ngay cả khi không sử dụng CMS.

Chúng tôi muốn đảm bảo rằng hướng dẫn này thực sự hữu ích cho bạn. Để lại ý kiến phản hồi để giúp chúng tôi cải thiện!

Xác định kiểu xâm nhập này

Tấn công bằng văn bản vô nghĩa tự động tạo nhiều trang bằng những nội dung vô nghĩa những câu chứa các từ khoá trên trang web của bạn. Đây là những trang mà bạn không tạo nhưng có các URL có thể thu hút người dùng nhấp vào. Tin tặc để các trang bị tấn công hiển thị trong Google Tìm kiếm. Sau đó, nếu mọi người cố gắng truy cập những trang này, chúng sẽ được chuyển hướng đến một trang không liên quan. Tin tặc kiếm tiền khi người truy cập vào các trang không liên quan này. Dưới đây là một số ví dụ về loại tệp mà bạn có thể thấy trên trang web bị ảnh hưởng bởi tấn công bằng văn bản vô nghĩa:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Đôi khi chúng xuất hiện trong một thư mục bao gồm các ký tự ngẫu nhiên và dùng các ngôn ngữ khác nhau:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Hãy bắt đầu bằng cách kiểm tra Vấn đề bảo mật trong Search Console để xem liệu Google có phát hiện thấy trang nào trong số này bị tấn công hay không trên trang web của bạn. Đôi khi, bạn cũng có thể phát hiện các trang như thế này bằng cách mở Cửa sổ tìm kiếm và nhập site:_your site url_, với URL cấp cơ sở của trang web của bạn. Thao tác này sẽ cho bạn thấy những trang mà Google đã lập chỉ mục cho trang web của bạn, bao gồm cả các trang bị tấn công. Lướt qua một vài trang kết quả tìm kiếm để nếu bạn phát hiện thấy bất kỳ URL bất thường nào. Nếu bạn không thấy bất kỳ nội dung bị tấn công nào trong Google Tìm kiếm, sử dụng cùng cụm từ tìm kiếm với công cụ tìm kiếm khác. Sau đây là một ví dụ về giao diện sẽ trông như sau:

Tìm kiếm
  kết quả cho thấy các trang trong vụ tấn công này.
Các trang bị tấn công xuất hiện trong kết quả của Google Tìm kiếm.

Thông thường, khi nhấp vào đường liên kết tới một trang bị tấn công, bạn sẽ đã chuyển hướng đến một trang web khác hoặc thấy trang đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết rằng trang không tồn tại (ví dụ: ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn cho rằng trang đã biến mất hoặc đã được khắc phục trong khi vẫn bị tấn công. Họ làm điều này bằng cách kỹ thuật che giấu nội dung. Kiểm tra che giấu bằng cách nhập URL của trang web của bạn vào Công cụ kiểm tra URL. Công cụ Tìm nạp như Google cho phép bạn xem nội dung bị ẩn.

Nếu bạn thấy những vấn đề này, trang web của bạn rất có thể đã bị ảnh hưởng bởi loại vấn đề này xâm nhập.

Khắc phục xâm nhập

Trước khi bắt đầu, hãy tạo bản sao ngoại tuyến của bất kỳ tệp nào trước khi bạn xoá tệp, trong khi bạn cần khôi phục chúng sau này. Tốt hơn là bạn nên sao lưu toàn bộ trang web của mình trước bạn bắt đầu quá trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ của bạn đến một vị trí ngoài máy chủ hoặc tìm kiếm bản sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu bạn đang sử dụng CMS, đồng thời sao lưu cơ sở dữ liệu.

Kiểm tra tệp .htaccess (2 bước)

Tấn công bằng văn bản vô nghĩa chuyển hướng khách truy cập từ trang web của bạn bằng tệp .htaccess.

Bước 1

Xác định vị trí tệp .htaccess trên trang web của bạn. Nếu bạn không biết tìm tính năng này ở đâu và bạn sử dụng CMS như WordPress, Magento hoặc Drupal, hãy tìm kiếm "vị trí tệp .htaccess" trong công cụ tìm kiếm cùng với tên CMS của bạn. Bạn có thể thấy nhiều tệp .htaccess, tùy thuộc vào trang web của bạn. Lập danh sách tất cả vị trí tệp .htaccess.

Bước 2

Thay thế tất cả tệp .htaccess bằng phiên bản sạch hoặc mặc định của Tệp .htaccess. Thường thì bạn có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm "tệp .htaccess mặc định" và tên CMS của bạn. Đối với trang web có nhiều tệp .htaccess, hãy tìm phiên bản sạch của từng tệp rồi thay thế chúng.

Nếu không có .htaccess mặc định và bạn chưa từng định cấu hình tệp .htaccess trên trang web của bạn, tệp .htaccess mà bạn tìm thấy trên trang web có thể là tệp độc hại. Lưu bản sao của(các) tệp .htaccess ngoại tuyến trong trường hợp có thể và xoá .htaccess tệp từ trang web của bạn.

Tìm và xoá các tệp độc hại khác (5 bước)

Việc xác định tệp độc hại có thể phức tạp và tốn thời gian. Không phải vội đâu khi kiểm tra tệp. Nếu bạn chưa làm điều này, đây là thời điểm tốt để sao lưu trên trang web của bạn. Tìm kiếm cụm từ "sao lưu trang web" trên Google và tên của CMS để xem hướng dẫn về cách sao lưu trang web của bạn.

Bước 1

Nếu bạn sử dụng CMS, hãy cài đặt lại tất cả các tệp chính (mặc định) có trong phân phối mặc định của CMS của bạn, cũng như bất kỳ nội dung nào bạn có thể đã thêm vào (chẳng hạn như dưới dạng giao diện, mô-đun, trình bổ trợ). Điều này giúp đảm bảo rằng các tệp này không có nội dung bị tấn công. Bạn có thể tìm kiếm "cài đặt lại" trên Google và tên CMS của bạn để tìm hướng dẫn cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích, hoặc giao diện, hãy nhớ cài đặt lại các giao diện đó.

Bước 2

Bây giờ, bạn cần tìm các tệp độc hại hoặc bị xâm phạm còn lại. Đây là phần khó khăn và tốn thời gian nhất trong quá trình này, nhưng sau đó, bạn gần xong rồi!

Kiểu tấn công này thường để lại hai loại tệp: tệp .txt và tệp .php. Chiến lược phát hành đĩa đơn Tệp .txt phân phát là tệp mẫu và tệp .php xác định loại nội dung vô nghĩa để tải lên trang web của mình.

Hãy bắt đầu bằng cách tìm các tệp .txt. Tuỳ thuộc vào cách bạn kết nối với trang web của bạn, bạn sẽ thấy một số loại tính năng tìm kiếm cho tệp. Tìm kiếm ".txt" để kéo tất cả các tệp có đuôi .txt. Hầu hết trong số này sẽ các tệp hợp lệ như thoả thuận cấp phép hoặc tệp readme. Bạn đang tìm một tập hợp .txt tệp chứa mã HTML được dùng để tạo mẫu spam. Ở đây là các đoạn mã của nhiều đoạn mã mà bạn có thể tìm thấy trong các .txt tệp.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Tin tặc sử dụng thay thế từ khóa để tạo các trang spam. Rất có thể bạn sẽ xem một số từ chung có thể được thay thế trong suốt tệp bị tấn công.

Ngoài ra, hầu hết các tệp này đều chứa một số loại mã có vị trí liên kết spam và văn bản spam ra khỏi trang hiển thị.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Hãy xoá .txt tệp này. Nếu tất cả chúng nằm trong cùng một thư mục, hãy xoá toàn bộ .

Bước 3

Các tệp PHP độc hại có phần khó theo dõi hơn. Có thể có một hoặc nhiều tệp PHP độc hại trên trang web của bạn. Tất cả đều có thể được chứa trong cùng một thư mục con hoặc rải rác trên trang web của bạn.

Đừng bị choáng ngợp khi nghĩ rằng bạn cần mở và xem qua mọi PHP . Hãy bắt đầu bằng cách tạo một danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Dưới đây là một số cách để xác định tệp PHP nào đáng ngờ:

  • Vì bạn đã tải lại các tệp CMS của mình, hãy chỉ xem các tệp không thuộc tệp hoặc thư mục CMS mặc định của bạn. Điều này sẽ loại bỏ một số lượng lớn tệp PHP và cần phải xem một số tệp.
  • Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi cuối cùng. Tìm tệp được sửa đổi trong vòng vài tháng kể từ lần đầu tiên bạn phát hiện ra trang web của bạn bị tấn công.
  • Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.

Bước 4

Khi bạn đã có danh sách các tệp PHP đáng ngờ, hãy kiểm tra xem chúng có độc hại không. Nếu bạn không quen thuộc với PHP, quá trình này có thể tốn nhiều thời gian hơn, vì vậy hãy cân nhắc việc xem một số tài liệu PHP. Nếu bạn hoàn toàn không biết gì về lập trình, chúng tôi khuyên bạn tìm trợ giúp. Trong khi đó, có một số các mẫu cơ bản mà bạn có thể tìm để xác định tệp độc hại.

Nếu bạn sử dụng CMS và không có thói quen chỉnh sửa trực tiếp các tệp đó, so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định được đóng gói CMS và bất kỳ trình bổ trợ cũng như chủ đề nào. Tìm các tệp không thuộc về, cũng như lớn hơn phiên bản mặc định.

Trước tiên, hãy quét qua các tệp đáng ngờ mà bạn đã xác định để tìm kiếm các khối văn bản lớn với sự kết hợp giữa các chữ cái có vẻ lộn xộn và số. Khối văn bản lớn thường đứng sau PHP như base64_decode, rot13, eval, strrev hoặc gzinflate. Sau đây là ví dụ về hình thức của khối mã đó. Đôi khi tất cả những điều này mã sẽ được nhồi vào một dòng văn bản dài, làm cho mã trông nhỏ hơn thực sự là như vậy.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Đôi khi mã không bị lộn xộn và trông giống như tập lệnh bình thường. Nếu bạn không chắc chắn liệu mã đó có xấu hay không, hãy dừng lại Cộng đồng trợ giúp của Trung tâm Google Tìm kiếm nơi một nhóm quản trị viên trang web có kinh nghiệm có thể giúp bạn kiểm tra các tệp.

Bước 5

Vì bạn đã biết tệp nào đáng ngờ, hãy tạo một bản sao lưu hoặc một bản sao cục bộ bằng cách lưu chúng trên máy tính của mình, trong trường hợp có bất kỳ tệp nào không độc hại, và xoá các tệp đáng ngờ khỏi trang web của bạn.

Kiểm tra xem trang web của bạn có sạch không

Sau khi bạn hoàn tất việc loại bỏ các tệp bị tấn công, hãy kiểm tra xem bạn có chăm chỉ hay không đã được đền đáp. Bạn có nhớ những trang vô nghĩa mà bạn đã xác định trước đó không? Sử dụng phương thức Tìm nạp dưới dạng công cụ của Google để xem chúng còn tồn tại hay không. Nếu họ trả lời là "Không Đã tìm thấy" trong Tìm nạp như Google, có khả năng bạn đã thành công và có thể hãy chuyển sang sửa các lỗ hổng bảo mật trên trang web của bạn.

Làm cách nào để tôi ngăn chặn việc bị tấn công lại?

Việc khắc phục các lỗ hổng bảo mật trên trang web là bước thiết yếu cuối cùng để sửa lỗi của bạn. Một nghiên cứu gần đây đã chỉ ra rằng 20% trang web bị tấn công lại trong một ngày. Việc biết chính xác cách thức trang web của bạn bị tấn công rất hữu ích. Hãy đọc hướng dẫn những cách phổ biến nhất mà trang web bị người gửi spam tấn công để bắt đầu điều tra. Tuy nhiên, nếu bạn không thể tìm ra cách trang web của bạn đã bị tấn công, sau đây là danh sách kiểm tra gồm những việc bạn có thể làm để giảm các lỗ hổng bảo mật trên trang web của bạn:

  • Thường xuyên quét máy tính của bạn: Sử dụng bất kỳ trình quét virus phổ biến nào để kiểm tra phát hiện vi-rút hoặc lỗ hổng bảo mật.
  • Thay đổi mật khẩu thường xuyên: Thường xuyên đổi mật khẩu thành tất cả tài khoản trang web của bạn, chẳng hạn như nhà cung cấp dịch vụ lưu trữ, FTP và CMS đều có thể ngăn chặn truy cập trái phép vào trang web của bạn. Điều quan trọng là bạn phải tạo ra một mật khẩu duy nhất cho mỗi tài khoản.
  • Mục đích sử dụng Xác thực hai yếu tố (2FA): Hãy cân nhắc việc bật tính năng Xác thực hai yếu tố trên bất kỳ dịch vụ nào yêu cầu bạn đăng nhập. Xác thực hai yếu tố khiến tin tặc khó đăng nhập hơn ngay cả khi chúng đánh cắp thành công mật khẩu của bạn.
  • Cập nhật CMS, trình bổ trợ, tiện ích và mô-đun của bạn thường xuyên: Hy vọng rằng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì chúng đang chạy phần mềm lỗi thời. Một số CMS hỗ trợ tự động cập nhật.
  • Xem xét việc đăng ký một dịch vụ bảo mật để giám sát trang web của bạn: Có rất nhiều dịch vụ tuyệt vời có thể giúp bạn theo dõi với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.

Tài nguyên khác

Nếu bạn vẫn gặp sự cố khi khắc phục trang web của mình, có một vài nguyên nhân khác có thể hữu ích với bạn.

Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.

Đây chỉ là một số công cụ có thể quét trang web của bạn để tìm các vấn đề nội dung. Xin lưu ý rằng các trình quét này không thể đảm bảo rằng chúng sẽ xác định mọi loại nội dung có vấn đề.

Dưới đây là các tài nguyên bổ sung từ Google có thể giúp bạn: