Vì có thể có nhiều vụ tấn công riêng biệt, ngay cả khi bạn có thể tìm và khắc phục một lỗ hổng, bạn nên tiếp tục tìm kiếm những lỗ hổng khác. Bắt đầu điều tra bằng cách đọc về các cách hàng đầu khiến trang web bị người gửi thư rác tấn công.
Bạn sẽ cần:
- Quyền truy cập của quản trị viên shell hoặc thiết bị đầu cuối vào các máy chủ của trang web: web, cơ sở dữ liệu và tệp
- Có kiến thức về lệnh shell hoặc dòng lệnh
- Hiểu biết về mã (chẳng hạn như PHP hoặc JavaScript)
- Khả năng chạy hai trình quét diệt vi-rút
Hành động tiếp theo
Chúng tôi sẽ giới thiệu một số cách phổ biến mà một trang web có thể bị xâm nhập. Hy vọng rằng một trong những cách này sẽ áp dụng cho trang web của bạn, hoặc ít nhất là giúp bạn biết những khả năng khác.
Xin lưu ý rằng trình quét lỗ hổng bảo mật khác với trình quét diệt vi-rút. Trình quét lỗ hổng bảo mật có thể xâm nhập sâu hơn và có nhiều khả năng gây ra thiệt hại không mong muốn cho trang web của bạn. Làm theo mọi hướng dẫn, chẳng hạn như sao lưu trang web của bạn, trước khi chạy trình quét.
Lỗ hổng bảo mật tiềm ẩn {potential-vulnerabilities}
Các lỗ hổng bảo mật tiềm ẩn cần điều tra bao gồm:
Máy tính của quản trị viên bị nhiễm vi-rút
Trên máy tính bị nhiễm vi-rút của quản trị viên, tin tặc có thể đã cài đặt phần mềm gián điệp để ghi lại thao tác nhấn phím của quản trị viên trang web.
- Kiểm tra virus trên hệ thống của quản trị viên. Bạn nên chạy một số trình quét diệt vi-rút (AV) danh tiếng trên mọi máy tính mà quản trị viên đã sử dụng để đăng nhập vào trang web. Vì các sự cố lây nhiễm phần mềm độc hại mới liên tục được thiết kế để né tránh các trình quét, nên đây không phải là phương pháp phát hiện vi-rút chắc chắn. Việc chạy nhiều trình quét giúp tránh xác định sai và cung cấp thêm điểm dữ liệu để xác định xem có lỗ hổng hay không. Ngoài ra, để đảm bảo an toàn, hãy cân nhắc quét cả máy chủ web và tất cả thiết bị dùng để cập nhật hoặc đăng lên trang web.
- Nếu trình quét AV phát hiện thấy phần mềm gián điệp, virus, trojan hoặc bất kỳ chương trình đáng ngờ nào khác, hãy điều tra nhật ký máy chủ của trang web để kiểm tra hoạt động của quản trị viên sở hữu máy tính bị nhiễm.
- Tin tặc có thể đã thay đổi các tệp nhật ký. Nếu không, việc liên kết tên người dùng của quản trị viên với các lệnh đáng ngờ trong tệp nhật ký là bằng chứng cho thấy virus trên hệ thống của quản trị viên khiến trang web dễ bị tấn công.
Mật khẩu yếu hoặc được sử dụng lại
Các mật khẩu yếu rất dễ bị tin tặc phát hiện, khiến chúng có quyền truy cập trực tiếp vào máy chủ của bạn. Mật khẩu mạnh là sự kết hợp giữa chữ cái và số, dấu câu và không có từ hay tiếng lóng có thể tìm thấy trong từ điển. Chỉ được dùng mật khẩu cho một ứng dụng và không được dùng lại trên khắp web. Khi mật khẩu được sử dụng lại, tin tặc chỉ cần một lần vi phạm bảo mật trên một ứng dụng để tìm ra thông tin đăng nhập và mật khẩu chúng có thể sử dụng ở nơi khác.
Trong nhật ký máy chủ, hãy kiểm tra hoạt động không mong muốn, chẳng hạn như nhiều lần thử đăng nhập mà một quản trị viên hoặc một quản trị viên đưa ra các lệnh không mong muốn. Ghi lại thời điểm xảy ra hoạt động đáng ngờ, vì việc biết được thời điểm tấn công xảy ra lần đầu sẽ giúp xác định bản sao lưu nào có thể vẫn còn sạch.
Phần mềm đã lỗi thời
Kiểm tra để đảm bảo(các) máy chủ của bạn đã cài đặt phiên bản mới nhất của hệ điều hành, hệ thống quản lý nội dung, nền tảng viết blog, ứng dụng, trình bổ trợ và bất kỳ phần mềm nào khác mà trang web sử dụng.
- Nghiên cứu tất cả phần mềm đã cài đặt (có thể thông qua tìm kiếm trên web) để xác định xem phiên bản của bạn có chứa tư vấn bảo mật hay không. Nếu có thì có khả năng phần mềm lỗi thời đã khiến trang web của bạn dễ bị tấn công.
- Phương pháp hay nhất là luôn cố gắng cập nhật phần mềm máy chủ của bạn, bất kể phần mềm lỗi thời có gây ra các vấn đề cụ thể về lỗ hổng bảo mật này hay không.
4. Các phương pháp mã hóa lỏng lẻo, chẳng hạn như các chuyển hướng mở và đưa vào SQL
Chuyển hướng mở
Lệnh chuyển hướng mở được mã hoá nhằm mục đích định cấu trúc URL để cho phép thêm một URL khác để người dùng có thể truy cập vào tệp hoặc trang hữu ích trên trang web. Ví dụ:
http://example.com/page.php?url=http://example.com/good-file.pdf
hoặc
http://example.com/page.php?url=malware-attack-site>
- Nếu trang web của bạn bị các lệnh chuyển hướng mở lợi dụng, bạn có thể nhận thấy thông báo trong Search Console cung cấp các URL ví dụ có chứa lệnh chuyển hướng mở tới một trang đích không mong muốn.
- Để ngăn chặn chuyển hướng mở trong tương lai, hãy kiểm tra các mục sau:
- Liệu chế độ "cho phép chuyển hướng mở" có được bật theo mặc định trong phần mềm của bạn hay không.
- Liệu mã của bạn có thể cấm chuyển hướng ra ngoài miền hay không.
- Liệu bạn có thể ký lệnh chuyển hướng để chỉ các lệnh chuyển hướng bằng URL được băm đúng cách và chữ ký mật mã chính xác mới có thể tiếp tục hay không.
Đưa vào SQL
Việc chèn SQL xảy ra khi một tin tặc có thể thêm các lệnh giả mạo vào các trường nhập dữ liệu của người dùng mà cơ sở dữ liệu của bạn thực thi. Kỹ thuật chèn SQL sẽ cập nhật các bản ghi trong cơ sở dữ liệu của bạn bằng nội dung thư rác hoặc phần mềm độc hại không mong muốn, hoặc kết xuất dữ liệu có giá trị vào đầu ra cho tin tặc. Nếu trang web của bạn sử dụng cơ sở dữ liệu và đặc biệt là nếu bạn bị nhiễm phần mềm độc hại, thì có thể trang web của bạn đã bị xâm phạm bằng thao tác chèn SQL.
- Đăng nhập vào máy chủ cơ sở dữ liệu và tìm nội dung đáng ngờ trong cơ sở dữ liệu, chẳng hạn như các trường văn bản thông thường hiện hiển thị iframe hoặc tập lệnh.
- Đối với các giá trị đáng ngờ, hãy kiểm tra để đảm bảo hoạt động đầu vào của người dùng đã được xác thực và thoát đúng cách, hoặc có thể được nhập mạnh để không thể thực thi các giá trị đó dưới dạng mã. Nếu hoạt động đầu vào của người dùng không được kiểm tra trước khi xử lý cơ sở dữ liệu, thì việc chèn SQL có thể là nguyên nhân gốc rễ gây ra lỗ hổng trên trang web của bạn.