Hướng dẫn này dành cho một loại tấn công tạo văn bản tiếng Nhật được tạo tự động trên trang web của bạn, mà chúng tôi gọi là cuộc tấn công bằng từ khoá tiếng Nhật. Hướng dẫn này được thiết kế cho người dùng hệ thống quản lý nội dung (CMS) phổ biến, nhưng bạn vẫn có thể thấy hướng dẫn này hữu ích ngay cả khi trang web của bạn không sử dụng CMS.
Xác định loại hành vi xâm nhập này
Cuộc tấn công bằng từ khoá tiếng Nhật thường tạo trang mới chứa văn bản tiếng Nhật được tạo tự động trên trang web của bạn với tên thư mục được tạo ngẫu nhiên (ví dụ: http://example.com/ltjmnjp/341.html). Các trang này được dùng để kiếm tiền bằng cách sử dụng đường liên kết tiếp thị liên kết đến các cửa hàng bán hàng giả và sau đó xuất hiện trên Google Tìm kiếm. Dưới đây là ví dụ về một trong những trang này:
Với kiểu tấn công này, tin tặc thường sẽ tự thêm mình làm chủ sở hữu tài sản trong Search Console để tăng lợi nhuận bằng cách thao túng các chế độ cài đặt của trang web, chẳng hạn như nhắm mục tiêu theo địa lý hoặc sơ đồ trang web. Nếu bạn nhận được thông báo cho biết có người mà bạn không biết đã xác minh trang web của bạn trong Google Search Console, thì rất có thể trang web của bạn đã bị xâm nhập.
Trước tiên, hãy kiểm tra công cụ Vấn đề bảo mật trong Search Console để xem Google có phát hiện thấy trang nào bị xâm nhập trên trang web của bạn hay không. Đôi khi, bạn cũng có thể khám phá những trang như thế này bằng cách mở một cửa sổ Google Tìm kiếm rồi nhập site:_your site url_, kèm theo URL cấp gốc của trang web. Thao tác này sẽ cho bạn biết những trang mà Google đã lập chỉ mục cho trang web của bạn, bao gồm cả các trang bị xâm nhập. Lướt qua một vài trang kết quả tìm kiếm để xem bạn có thấy URL nào bất thường không. Nếu bạn không thấy nội dung bị xâm nhập trong Google Tìm kiếm, hãy sử dụng các cụm từ tìm kiếm tương tự với một công cụ tìm kiếm khác. Sau đây là một ví dụ về cách thực hiện:
Thông thường, khi nhấp vào một đường liên kết đến một trang bị xâm nhập, bạn sẽ được chuyển hướng đến một trang web khác hoặc thấy một trang đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết trang không tồn tại (ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn nghĩ rằng trang đã bị xoá hoặc đã được khắc phục trong khi trang đó vẫn bị tấn công. Họ thực hiện việc này bằng cách kỹ thuật che giấu nội dung. Kiểm tra xem có hành vi che giấu hay không bằng cách nhập URL của trang web vào Công cụ kiểm tra URL. Công cụ này cho phép bạn xem nội dung bị ẩn bên dưới.
Nếu bạn thấy những vấn đề này, thì rất có thể trang web của bạn đã bị ảnh hưởng bởi loại hành vi tấn công này.
Khắc phục hành vi xâm nhập
Trước khi bắt đầu, hãy tạo một bản sao ngoại tuyến của mọi tệp trước khi xoá để phòng trường hợp bạn cần khôi phục sau này. Tốt hơn hết, hãy sao lưu toàn bộ trang web trước khi bắt đầu quy trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ của mình vào một vị trí bên ngoài máy chủ hoặc tìm kiếm các lựa chọn sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu đang sử dụng CMS, hãy sao lưu cả cơ sở dữ liệu.
Xóa các tài khoản mới được tạo khỏi Search Console
Nếu có một chủ sở hữu mới mà bạn không nhận ra đã được thêm vào tài khoản Search Console của bạn, hãy thu hồi quyền truy cập của họ càng sớm càng tốt. Bạn có thể kiểm tra những người dùng đã được xác minh cho trang web của bạn trên trang xác minh Search Console. Nhấp vào "Chi tiết xác minh" cho trang web để xem tất cả người dùng đã xác minh.
Để xoá một chủ sở hữu khỏi Search Console, hãy tham khảo phần Xoá chủ sở hữu trong Trung tâm trợ giúp về cách quản lý người dùng, chủ sở hữu và quyền.
Bạn cần xoá mã xác minh được liên kết. Mã này thường là tệp HTML trên thư mục gốc của trang web hoặc tệp .htaccess được tạo động mô phỏng tệp HTML.
Nếu bạn không tìm thấy mã xác minh HTML trên trang web của mình, hãy kiểm tra quy tắc viết lại trong tệp .htaccess. Quy tắc viết lại sẽ có dạng như sau:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Để xoá mã xác minh được tạo động khỏi tệp .htaccess, hãy làm theo các bước sau:
Kiểm tra tệp .htaccess (2 bước)
Ngoài việc sử dụng tệp .htaccess để tạo mã xác minh được tạo động, tin tặc thường sử dụng các quy tắc .htaccess để chuyển hướng người dùng hoặc tạo các trang vô nghĩa chứa nội dung rác. Trừ phi bạn có các quy tắc .htaccess tuỳ chỉnh, hãy cân nhắc việc thay thế .htaccess bằng một bản sao hoàn toàn mới.
Bước 1
Xác định vị trí tệp .htaccess trên trang web của bạn. Nếu bạn không chắc chắn về vị trí của tệp này và đang sử dụng một CMS như WordPress, Joomla hoặc Drupal, hãy tìm kiếm "vị trí tệp .htaccess" trong một công cụ tìm kiếm cùng với tên CMS của bạn. Tuỳ thuộc vào trang web của bạn, bạn có thể thấy nhiều tệp .htaccess. Lập danh sách tất cả các vị trí tệp .htaccess.
Bước 2
Thay thế tất cả các tệp .htaccess bằng một phiên bản sạch hoặc mặc định của tệp .htaccess. Bạn thường có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm kiếm "tệp .htaccess mặc định" và tên CMS của bạn. Đối với những trang web có nhiều tệp .htaccess, hãy tìm một phiên bản sạch của từng tệp và thay thế chúng.
Nếu không có .htaccess mặc định và bạn chưa bao giờ định cấu hình tệp .htaccess trên trang web của mình, thì tệp .htaccess mà bạn tìm thấy trên trang web của mình có thể là tệp độc hại. Lưu một bản sao của(các) tệp .htaccess để dùng khi không có mạng phòng trường hợp và xoá tệp .htaccess khỏi trang web của bạn.
Xóa tất cả các tệp và tập lệnh độc hại (4 bước)
Việc xác định tệp độc hại có thể khó khăn và tốn thời gian. Hãy dành thời gian kiểm tra tệp của bạn. Nếu chưa, thì đây là thời điểm thích hợp để sao lưu các tệp trên trang web của bạn. Tìm kiếm trên Google theo cụm từ "sao lưu trang web" và tên CMS của bạn để tìm hướng dẫn về cách sao lưu trang web.
Bước 1
Nếu bạn sử dụng một CMS, hãy cài đặt lại tất cả các tệp cốt lõi (mặc định) có trong bản phân phối mặc định của CMS, cũng như mọi thứ bạn đã thêm (chẳng hạn như giao diện, mô-đun hoặc trình bổ trợ). Điều này giúp đảm bảo rằng các tệp này không chứa nội dung xâm nhập. Bạn có thể tìm kiếm trên Google Tìm kiếm bằng cụm từ "cài đặt lại" và tên CMS của bạn để tìm hướng dẫn cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích hoặc giao diện nào, hãy nhớ cài đặt lại những thành phần đó.
Bước 2
Tin tặc thường sửa đổi sơ đồ trang web của bạn hoặc thêm sơ đồ trang web mới để URL của họ được lập chỉ mục nhanh hơn. Nếu trước đây bạn có tệp sơ đồ trang web, hãy kiểm tra tệp đó để tìm mọi đường liên kết đáng ngờ và xoá chúng. Nếu có bất kỳ tệp sơ đồ trang web nào mà bạn không nhớ đã thêm vào trang web của mình, hãy xem xét tệp đó. Xoá tệp nếu tệp đó chỉ chứa các URL vi phạm.
Bước 3
Tìm mọi tệp độc hại hoặc bị xâm nhập khác. Có thể bạn đã xoá tất cả các tệp độc hại trong hai bước trước đó, nhưng tốt nhất là bạn nên thực hiện các bước tiếp theo này trong trường hợp có thêm tệp bị xâm nhập trên trang web của bạn.
Đừng lo lắng khi nghĩ rằng bạn cần mở và xem xét từng tệp PHP. Hãy bắt đầu bằng cách tạo một danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Dưới đây là một số cách để xác định tệp PHP nào là đáng ngờ:
- Nếu bạn đã tải lại các tệp CMS, hãy chỉ xem những tệp không thuộc các tệp hoặc thư mục CMS mặc định. Điều này sẽ loại bỏ nhiều tệp PHP và chỉ để lại một số ít tệp để bạn xem xét.
- Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi lần cuối. Tìm những tệp đã được sửa đổi trong vòng vài tháng kể từ thời điểm bạn phát hiện thấy trang web của mình bị xâm nhập.
- Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.
Bước 4
Sau khi có danh sách các tệp PHP đáng ngờ, hãy kiểm tra xem chúng có nội dung độc hại hay không. Nếu bạn không quen thuộc với PHP, quy trình này có thể tốn nhiều thời gian hơn, vì vậy, hãy cân nhắc việc xem lại một số tài liệu về PHP. Nếu bạn hoàn toàn mới bắt đầu viết mã, bạn nên trao đổi với một nhà phát triển có kinh nghiệm. Trong thời gian chờ đợi, bạn có thể tìm kiếm một số mẫu cơ bản để xác định các tệp độc hại.
Nếu bạn sử dụng một CMS và không có thói quen chỉnh sửa trực tiếp các tệp PHP của CMS đó, hãy so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định được đóng gói cùng với CMS và mọi trình bổ trợ cũng như giao diện. Tìm những tệp không thuộc về bạn, cũng như những tệp có kích thước lớn hơn phiên bản mặc định.
Quét các tệp đáng ngờ mà bạn đã xác định để tìm các khối mã nguồn bị làm rối. Đây có thể là một tổ hợp gồm các chữ cái và số có vẻ lộn xộn, thường đứng trước một tổ hợp các hàm PHP như base64_decode, rot13, eval, strrev hoặc gzinflate. Sau đây là ví dụ về giao diện của khối mã. Đôi khi, tất cả mã này sẽ được nhồi vào một dòng văn bản dài, khiến mã trông nhỏ hơn thực tế.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Kiểm tra xem trang web của bạn có sạch sẽ hay không
Sau khi bạn xoá xong các tệp bị xâm nhập, hãy kiểm tra xem công sức của bạn có được đền đáp hay không. Bạn còn nhớ những trang văn bản vô nghĩa mà bạn đã xác định trước đó không? Hãy sử dụng lại công cụ Tìm nạp như Google trên các trang đó để xem chúng có còn tồn tại hay không.
Nếu họ phản hồi là "Không tìm thấy" trong Lấy dữ liệu dưới dạng Google, thì có thể bạn đang ở trong tình trạng khá tốt và bạn có thể chuyển sang khắc phục các lỗ hổng trên trang web của mình.
Làm cách nào để tôi ngăn chặn việc bị tấn công lại?
Khắc phục các lỗ hổng trên trang web là bước cuối cùng cần thiết để khắc phục trang web của bạn. Một nghiên cứu gần đây cho thấy 20% trang web bị xâm nhập sẽ bị xâm nhập lại trong vòng một ngày. Việc biết chính xác cách thức trang web của bạn bị tấn công rất hữu ích. Hãy đọc hướng dẫn của chúng tôi về các cách thức phổ biến nhất khiến trang web bị tấn công để bắt đầu điều tra. Nếu bạn không thể tìm ra cách trang web của mình bị tấn công, hãy làm theo danh sách kiểm tra này để giảm các lỗ hổng bảo mật trên trang web của bạn.
- Thường xuyên quét máy tính: Sử dụng phần mềm diệt vi-rút phổ biến để kiểm tra xem có vi-rút hoặc lỗ hổng bảo mật hay không.
- Thường xuyên thay đổi mật khẩu: Thường xuyên thay đổi mật khẩu cho tất cả tài khoản trang web của bạn (chẳng hạn như nhà cung cấp dịch vụ lưu trữ, FTP và CMS) có thể ngăn chặn hành vi truy cập trái phép vào trang web của bạn. Điều quan trọng là bạn phải tạo mật khẩu mạnh và riêng biệt cho mỗi tài khoản.
- Sử dụng Xác thực 2 yếu tố (2FA): Cân nhắc bật tính năng 2FA trên mọi dịch vụ yêu cầu bạn đăng nhập. Điều này khiến tin tặc khó đăng nhập hơn ngay cả khi chúng đánh cắp được mật khẩu của bạn.
- Cập nhật CMS, trình bổ trợ, tiện ích và mô-đun thường xuyên: Hy vọng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì đang chạy phần mềm lỗi thời. Một số CMS hỗ trợ tự động cập nhật.
- Cân nhắc đăng ký một dịch vụ bảo mật để giám sát trang web của bạn: Có nhiều dịch vụ có thể giúp bạn giám sát trang web của mình với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.
Tài nguyên khác
Nếu bạn vẫn gặp khó khăn khi khắc phục trang web của mình, thì có một số tài nguyên khác có thể giúp bạn.
Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.
Đây chỉ là một số công cụ có thể quét trang web của bạn để tìm nội dung có vấn đề. Xin lưu ý rằng các trình quét này không thể đảm bảo sẽ xác định được mọi loại nội dung có vấn đề.
Dưới đây là các tài nguyên bổ sung từ Google có thể giúp bạn: