Khắc phục tấn công bằng văn bản vô nghĩa

Hướng dẫn này được tạo riêng cho một loại hình tấn công thêm các trang vô nghĩa chứa nhiều từ khoá vào trang web của bạn. Chúng tôi gọi loại hình tấn công này là tấn công vô nghĩa. Hướng dẫn này được thiết kế dành cho người dùng các Hệ thống quản lý nội dung (CMS) phổ biến, nhưng bạn sẽ thấy hướng dẫn này hữu ích ngay cả khi không sử dụng CMS.

Cuộc tấn công bằng văn bản vô nghĩa tự động tạo nhiều trang với các câu vô nghĩa chứa nhiều từ khoá trên trang web của bạn. Đây là những trang mà bạn không tạo nhưng có URL có thể khiến người dùng nhấp vào. Tin tặc làm điều này để các trang bị tấn công xuất hiện trên Google Tìm kiếm. Sau đó, nếu người dùng cố gắng truy cập vào các trang này, họ sẽ được chuyển hướng đến một trang không liên quan. Tin tặc kiếm tiền khi mọi người truy cập vào những trang không liên quan này. Dưới đây là một số ví dụ về loại tệp mà bạn có thể thấy trên một trang web bị ảnh hưởng bởi cuộc tấn công mã vô nghĩa:

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Đôi khi, các tệp này xuất hiện trong một thư mục chứa các ký tự ngẫu nhiên và sử dụng nhiều ngôn ngữ:

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Hãy bắt đầu bằng cách kiểm tra công cụ Vấn đề bảo mật trong Search Console để xem Google có phát hiện thấy trang nào bị xâm nhập trên trang web của bạn hay không. Đôi khi, bạn cũng có thể phát hiện các trang như thế này bằng cách mở cửa sổ Google Tìm kiếm rồi nhập site:_your site url_, với URL cấp gốc của trang web. Thao tác này sẽ cho bạn biết những trang mà Google đã lập chỉ mục cho trang web của bạn, bao gồm cả các trang bị tấn công. Xem qua một vài trang kết quả tìm kiếm để xem bạn có phát hiện thấy URL bất thường nào không. Nếu bạn không thấy nội dung bị xâm nhập nào trong Google Tìm kiếm, hãy sử dụng cùng cụm từ tìm kiếm trên một công cụ tìm kiếm khác. Sau đây là một ví dụ về cách thực hiện:

Kết quả tìm kiếm cho thấy các trang bị xâm nhập này.
Các trang bị tấn công xuất hiện trong kết quả của Google Tìm kiếm.

Thông thường, khi nhấp vào một đường liên kết đến một trang bị xâm nhập, bạn sẽ được chuyển hướng đến một trang web khác hoặc thấy một trang chứa đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết trang không tồn tại (ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn nghĩ rằng trang đã bị xoá hoặc đã được khắc phục khi trang vẫn bị xâm nhập. Chúng thực hiện việc này bằng cách che giấu nội dung. Kiểm tra xem có hành vi ẩn trang hay không bằng cách nhập URL của trang web vào Công cụ kiểm tra URL. Công cụ Tìm nạp như Google cho phép bạn xem nội dung cơ bản bị ẩn.

Nếu bạn thấy những vấn đề này, thì rất có thể trang web của bạn đã bị ảnh hưởng bởi loại hình tấn công này.

Khắc phục hành vi xâm nhập

Trước khi bắt đầu, hãy tạo một bản sao ngoại tuyến của mọi tệp trước khi xoá chúng, phòng trường hợp bạn cần khôi phục các tệp đó sau này. Tốt hơn hết, hãy sao lưu toàn bộ trang web trước khi bắt đầu quy trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ vào một vị trí bên ngoài máy chủ hoặc tìm kiếm các tuỳ chọn sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu bạn đang sử dụng một CMS, hãy sao lưu cơ sở dữ liệu.

Kiểm tra tệp .htaccess (2 bước)

Lỗi xâm nhập bằng văn bản vô nghĩa sẽ chuyển hướng khách truy cập khỏi trang web của bạn bằng tệp .htaccess.

Bước 1

Tìm tệp .htaccess trên trang web của bạn. Nếu bạn không biết nơi tìm tệp này và đang sử dụng một CMS như WordPress, Joomla hoặc Drupal, hãy tìm "vị trí tệp .htaccess" trong một công cụ tìm kiếm cùng với tên CMS của bạn. Tuỳ thuộc vào trang web của mình, bạn có thể thấy nhiều tệp .htaccess. Tạo danh sách tất cả vị trí tệp .htaccess.

Bước 2

Thay thế tất cả tệp .htaccess bằng phiên bản sạch hoặc mặc định của tệp .htaccess. Bạn thường có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm "tệp .htaccess mặc định" và tên của CMS. Đối với các trang web có nhiều tệp .htaccess, hãy tìm phiên bản sạch của từng tệp và thay thế các tệp đó.

Nếu không có .htaccess mặc định nào và bạn chưa từng định cấu hình tệp .htaccess trên trang web của mình, thì tệp .htaccess mà bạn tìm thấy trên trang web có thể là tệp độc hại. Lưu một bản sao của(các) tệp .htaccess khi không có mạng để phòng trường hợp cần thiết và xoá tệp .htaccess khỏi trang web của bạn.

Tìm và xoá các tệp độc hại khác (5 bước)

Việc xác định tệp độc hại có thể phức tạp và tốn thời gian. Hãy dành thời gian khi kiểm tra tệp. Nếu bạn chưa sao lưu, thì đây là thời điểm thích hợp để sao lưu các tệp trên trang web của bạn. Tìm kiếm trên Google theo cụm từ "back up site" ("duy trì sao lưu trang web") và tên của CMS để tìm hướng dẫn về cách sao lưu trang web.

Bước 1

Nếu bạn sử dụng một CMS, hãy cài đặt lại tất cả các tệp cốt lõi (mặc định) có trong bản phân phối mặc định của CMS, cũng như mọi nội dung bạn có thể đã thêm (chẳng hạn như giao diện, mô-đun, trình bổ trợ). Việc này giúp đảm bảo rằng các tệp này không chứa nội dung bị xâm nhập. Bạn có thể tìm kiếm trên Google theo cụm từ "cài đặt lại" và tên CMS của mình để tìm hướng dẫn cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích hoặc giao diện nào, hãy nhớ cài đặt lại các trình bổ trợ, mô-đun, tiện ích hoặc giao diện đó.

Bước 2

Bây giờ, bạn cần tìm mọi tệp độc hại hoặc bị xâm phạm còn lại. Đây là phần khó khăn và tốn thời gian nhất trong quy trình, nhưng sau bước này, bạn đã gần như hoàn tất!

Lỗi xâm nhập này thường để lại hai loại tệp: tệp .txt và tệp .php. Các tệp .txt phân phát là tệp mẫu và các tệp .php xác định loại nội dung vô nghĩa cần tải lên trang web của bạn.

Bắt đầu bằng cách tìm các tệp .txt. Tuỳ thuộc vào cách bạn kết nối với trang web, bạn sẽ thấy một số loại tính năng tìm kiếm cho tệp. Tìm kiếm ".txt" để xem tất cả tệp có đuôi .txt. Hầu hết các tệp này sẽ là tệp hợp pháp như thoả thuận cấp phép hoặc tệp readme. Bạn đang tìm một nhóm tệp .txt chứa mã HTML dùng để tạo các mẫu vi phạm. Dưới đây là các đoạn mã khác nhau mà bạn có thể tìm thấy trong các tệp .txt độc hại này.

<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />

Tin tặc sử dụng thay thế từ khóa để tạo các trang spam. Rất có thể bạn sẽ thấy một số từ chung có thể được thay thế trong toàn bộ tệp bị xâm nhập.

Ngoài ra, hầu hết các tệp này đều chứa một số loại mã giúp đặt các đường liên kết và văn bản vi phạm ra khỏi trang hiển thị.

<div style="position: absolute; top: -1000px; left: -1000px;">
    Cheap prescription drugs
</div>

Xoá các tệp .txt này. Nếu tất cả các tệp đó đều nằm trong cùng một thư mục, hãy xoá toàn bộ thư mục đó.

Bước 3

Các tệp PHP độc hại có phần khó theo dõi hơn. Có thể có một hoặc nhiều tệp PHP độc hại trên trang web của bạn. Tất cả các tệp này có thể nằm trong cùng một thư mục con hoặc nằm rải rác trên trang web của bạn.

Đừng quá lo lắng khi nghĩ rằng bạn cần mở và xem qua mọi tệp PHP. Bắt đầu bằng cách tạo danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Sau đây là một số cách để xác định tệp PHP nào đáng ngờ:

  • Vì bạn đã tải lại các tệp CMS, nên hãy chỉ xem các tệp không thuộc thư mục hoặc tệp CMS mặc định. Thao tác này sẽ loại bỏ một số lượng lớn tệp PHP và chỉ để lại một số ít tệp để bạn xem xét.
  • Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi cuối cùng. Tìm các tệp được sửa đổi trong vòng vài tháng kể từ lần đầu tiên bạn phát hiện trang web của mình bị xâm nhập.
  • Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.

Bước 4

Sau khi bạn có danh sách các tệp PHP đáng ngờ, hãy kiểm tra xem các tệp đó có độc hại hay không. Nếu bạn không quen thuộc với PHP, quy trình này có thể mất nhiều thời gian hơn, vì vậy, hãy cân nhắc việc ôn lại một số tài liệu về PHP. Nếu bạn hoàn toàn mới với việc lập trình, bạn nên yêu cầu trợ giúp. Trong thời gian chờ đợi, bạn có thể tìm một số mẫu cơ bản để xác định tệp độc hại.

Nếu bạn sử dụng một CMS và không có thói quen chỉnh sửa trực tiếp các tệp đó, hãy so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định được đóng gói cùng với CMS và mọi trình bổ trợ cũng như giao diện. Tìm các tệp không thuộc về thư mục cũng như các tệp lớn hơn phiên bản mặc định.

Trước tiên, hãy quét qua các tệp đáng ngờ mà bạn đã xác định để tìm các khối văn bản lớn có tổ hợp chữ cái và số dường như bị xáo trộn. Khối văn bản lớn thường đứng trước một tổ hợp các hàm PHP như base64_decode, rot13, eval, strrev hoặc gzinflate. Sau đây là ví dụ về khối mã đó. Đôi khi, tất cả mã này sẽ được nhét vào một dòng văn bản dài, khiến mã trông nhỏ hơn thực tế.

// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Đôi khi, mã không bị xáo trộn và chỉ trông giống như tập lệnh thông thường. Nếu bạn không chắc chắn liệu mã có bị lỗi hay không, hãy ghé thăm Cộng đồng trợ giúp của Trung tâm Google Tìm kiếm. Tại đây, một nhóm quản trị viên trang web giàu kinh nghiệm có thể giúp bạn xem xét các tệp.

Bước 5

Giờ đây, bạn đã biết những tệp nào đáng ngờ, hãy tạo một bản sao lưu hoặc bản sao cục bộ bằng cách lưu các tệp đó trên máy tính, phòng trường hợp có tệp nào đó không độc hại, đồng thời xoá các tệp đáng ngờ khỏi trang web của bạn.

Kiểm tra xem trang web của bạn có sạch sẽ hay không

Sau khi loại bỏ xong các tệp bị xâm nhập, hãy kiểm tra xem công sức của bạn có được đền đáp hay không. Bạn còn nhớ những trang vô nghĩa mà bạn đã xác định trước đó không? Hãy sử dụng lại công cụ Tìm nạp như Google trên các trang đó để xem các trang đó có còn tồn tại hay không. Nếu kết quả trả về là "Không tìm thấy" trong tính năng Tìm nạp dưới dạng Google, thì có thể trang web của bạn đã ở trạng thái khá tốt và bạn có thể chuyển sang khắc phục các lỗ hổng trên trang web.

Làm cách nào để tôi ngăn chặn việc bị tấn công lại?

Việc khắc phục lỗ hổng trên trang web là bước cuối cùng và thiết yếu để khắc phục trang web. Một nghiên cứu gần đây cho thấy 20% số trang web bị tấn công sẽ bị tấn công lại trong vòng một ngày. Việc biết chính xác cách thức trang web của bạn bị tấn công rất hữu ích. Hãy đọc hướng dẫn của chúng tôi về các cách phổ biến nhất khiến trang web bị tấn công để bắt đầu điều tra. Tuy nhiên, nếu bạn không thể tìm ra cách trang web của mình bị tấn công, thì sau đây là danh sách kiểm tra những việc bạn có thể làm để giảm thiểu lỗ hổng trên trang web:

  • Thường xuyên quét máy tính: Sử dụng bất kỳ trình quét vi-rút phổ biến nào để kiểm tra vi-rút hoặc lỗ hổng.
  • Thường xuyên thay đổi mật khẩu: Việc thường xuyên thay đổi mật khẩu cho tất cả tài khoản trang web của bạn (như nhà cung cấp dịch vụ lưu trữ, FTP và CMS) có thể ngăn chặn hành vi truy cập trái phép vào trang web của bạn. Điều quan trọng là bạn phải tạo mật khẩu mạnh và khác biệt cho từng tài khoản.
  • Sử dụng tính năng Xác thực hai yếu tố (2FA): Hãy cân nhắc bật tính năng 2FA trên mọi dịch vụ yêu cầu bạn đăng nhập. Tính năng xác thực hai yếu tố giúp tin tặc khó đăng nhập hơn ngay cả khi chúng đánh cắp thành công mật khẩu của bạn.
  • Thường xuyên cập nhật CMS, trình bổ trợ, tiện ích và mô-đun: Hy vọng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì đang chạy phần mềm lỗi thời. Một số CMS hỗ trợ tự động cập nhật.
  • Cân nhắc đăng ký một dịch vụ bảo mật để theo dõi trang web của bạn: Có rất nhiều dịch vụ tuyệt vời có thể giúp bạn theo dõi trang web của mình với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.

Tài nguyên khác

Nếu bạn vẫn gặp sự cố khi khắc phục trang web, thì có một số tài nguyên khác có thể giúp bạn.

Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.

Đây chỉ là một số công cụ có thể quét trang web của bạn để tìm nội dung có vấn đề. Xin lưu ý rằng các trình quét này không thể đảm bảo rằng chúng sẽ xác định được mọi loại nội dung có vấn đề.

Dưới đây là các tài nguyên bổ sung từ Google có thể giúp bạn: