Hướng dẫn này được tạo riêng cho một kiểu tấn công bằng cách thêm các trang vô nghĩa nhiều từ khoá vào trang web của bạn, mà chúng tôi sẽ gọi là tấn công bằng văn bản vô nghĩa. Hướng dẫn được thiết kế cho người dùng của Hệ thống quản lý nội dung (CMS) phổ biến, nhưng bạn sẽ thấy hướng dẫn này hữu ích ngay cả khi bạn không sử dụng CMS.
Chúng tôi muốn đảm bảo rằng hướng dẫn này thực sự hữu ích cho bạn. Hãy để lại phản hồi để giúp chúng tôi cải thiện!
Xác định kiểu tấn công này
Tấn công bằng văn bản vô nghĩa tự động tạo nhiều trang với các câu vô nghĩa chứa nhiều từ khóa trên trang web của bạn. Đây là các trang mà bạn không tạo nhưng có URL có thể thu hút người dùng nhấp vào. Tin tặc làm điều này để các trang bị tấn công xuất hiện trong Google Tìm kiếm. Sau đó, nếu mọi người cố gắng truy cập các trang này, họ sẽ được chuyển hướng đến một trang không liên quan. Tin tặc kiếm tiền khi mọi người truy cập các trang không liên quan này. Dưới đây là một số ví dụ về loại tệp bạn có thể thấy trên một trang web bị ảnh hưởng bởi tấn công bằng văn bản vô nghĩa:
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
Đôi khi chúng xuất hiện trong một thư mục bao gồm các ký tự ngẫu nhiên và sử dụng nhiều ngôn ngữ:
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
Hãy bắt đầu bằng cách kiểm tra công cụ Vấn đề bảo mật trong Search Console để xem liệu Google có phát hiện thấy bất kỳ trang nào bị tấn công trên trang web của bạn hay không. Đôi khi, bạn cũng có thể phát hiện các trang như thế này bằng cách mở cửa sổ
Google Tìm kiếm và nhập site:_your site url_, với URL cấp cơ sở
của trang web của bạn. Báo cáo này sẽ hiển thị cho bạn các trang mà Google đã lập chỉ mục cho trang web của bạn,
bao gồm các trang bị tấn công. Lướt qua một vài trang kết quả tìm kiếm để xem bạn có phát hiện bất kỳ URL bất thường nào không. Nếu bạn không thấy bất kỳ nội dung bị tấn công nào trong Google Tìm kiếm, hãy sử dụng các cụm từ tìm kiếm tương tự với công cụ tìm kiếm khác. Dưới đây là ví dụ về thành phần sẽ trông như sau:
Thông thường, khi nhấp vào đường liên kết đến một trang bị tấn công, bạn sẽ được chuyển hướng đến một trang web khác hoặc thấy một trang đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết trang không tồn tại (ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn nghĩ rằng trang đã biến mất hoặc đã được khắc phục trong khi trang vẫn bị tấn công. Họ làm điều này bằng cách che giấu nội dung. Hãy kiểm tra che giấu bằng cách nhập các URL thuộc trang web của bạn vào Công cụ kiểm tra URL. Công cụ Tìm nạp như Google cho phép bạn xem nội dung bị ẩn.
Nếu bạn thấy những vấn đề này thì rất có thể trang web của bạn đã bị ảnh hưởng bởi loại tấn công này.
Khắc phục tấn công
Trước khi bắt đầu, hãy tạo một bản sao ngoại tuyến của bất kỳ tệp nào trước khi bạn xoá tệp, phòng trường hợp bạn cần khôi phục tệp sau này. Tốt hơn là bạn nên sao lưu toàn bộ trang web của mình trước khi bắt đầu quá trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ vào một vị trí ngoài máy chủ hoặc tìm các lựa chọn sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu bạn đang sử dụng CMS, hãy sao lưu cả cơ sở dữ liệu.
Kiểm tra tệp .htaccess (2 bước)
Tấn công bằng văn bản vô nghĩa chuyển hướng khách truy cập từ trang web của bạn bằng tệp .htaccess.
Bước 1
Tìm tệp .htaccess trên trang web của bạn. Nếu bạn không biết chắc nên tìm tệp ở đâu và đang sử dụng CMS như WordPress, Joomla hoặc Drupal, hãy tìm " vị trí tệp htaccess" trong một công cụ tìm kiếm cùng với tên CMS của bạn.
Tuỳ thuộc vào trang web, bạn có thể thấy nhiều tệp .htaccess.
Tạo danh sách tất cả vị trí tệp .htaccess.
Bước 2
Thay thế tất cả tệp .htaccess bằng phiên bản sạch hoặc mặc định của tệp .htaccess. Thường thì bạn có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm "tệp .htaccess mặc định" và tên CMS của bạn. Đối với các trang web có nhiều tệp .htaccess, hãy tìm một phiên bản sạch của từng tệp và thay thế các tệp đó.
Nếu không có tệp .htaccess mặc định nào và bạn chưa từng định cấu hình tệp .htaccess trên trang web của mình, thì tệp .htaccess mà bạn tìm thấy trên trang web đó có thể là tệp độc hại.
Hãy lưu một bản sao của(các) tệp .htaccess để đề phòng trường hợp ngoại tuyến và xoá tệp .htaccess đó khỏi trang web của bạn.
Tìm và xoá các tệp độc hại khác (5 bước)
Việc xác định các tệp độc hại có thể rất phức tạp và tốn thời gian. Hãy dành thời gian kiểm tra tệp của bạn. Nếu bạn chưa di chuyển, đây là thời điểm tốt để sao lưu các tệp trên trang web của bạn. Hãy tìm kiếm "sao lưu trang web" và tên của CMS của bạn trên Google để tìm hướng dẫn về cách sao lưu trang web của bạn.
Bước 1
Nếu bạn sử dụng CMS, hãy cài đặt lại tất cả các tệp chính (mặc định) có trong bản phân phối mặc định của CMS, cũng như mọi nội dung bạn có thể đã thêm vào (chẳng hạn như giao diện, mô-đun, trình bổ trợ). Điều này giúp đảm bảo rằng các tệp này không có nội dung bị tấn công. Bạn có thể tìm kiếm "cài đặt lại" kèm theo tên CMS của mình trên Google để tìm hướng dẫn cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích hay chủ đề nào, hãy nhớ cài đặt lại các trình bổ trợ, mô-đun, tiện ích đó.
Bước 2
Bây giờ, bạn cần tìm kiếm những tệp độc hại hoặc bị xâm phạm còn lại. Đây là phần khó nhất và tốn thời gian nhất của quy trình này, nhưng sau đó bạn đã làm gần xong!
Kiểu tấn công này thường để lại 2 loại tệp: tệp .txt và tệp .php. Các tệp .txt phân phát là các tệp mẫu và tệp .php xác định loại nội dung vô nghĩa cần tải lên trang web của bạn.
Hãy bắt đầu bằng cách tìm các tệp .txt. Tuỳ thuộc vào cách bạn kết nối với trang web của mình, bạn sẽ thấy một số loại tính năng tìm kiếm cho các tệp. Tìm kiếm ""txt" để hiển thị tất cả các tệp có đuôi .txt. Hầu hết các tệp này đều là các tệp hợp lệ như thoả thuận cấp phép hoặc tệp readme. Bạn đang tìm một tập hợp
các tệp .txt chứa mã HTML được dùng để tạo các mẫu vi phạm. Dưới đây là đoạn mã của các đoạn mã khác nhau mà bạn có thể tìm thấy trong các tệp .txt độc hại này.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
Tin tặc sử dụng thay thế từ khóa để tạo các trang spam. Rất có thể bạn sẽ thấy một số từ chung có thể được thay thế trong toàn bộ tệp bị tấn công.
Ngoài ra, hầu hết các tệp này đều chứa một số loại mã đánh dấu vị trí các đường liên kết vi phạm và văn bản vi phạm khỏi trang hiển thị.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
Hãy xoá .txt tệp này. Nếu tất cả các tệp nằm trong cùng một thư mục, hãy xoá toàn bộ thư mục.
Bước 3
Các tệp PHP độc hại có phần khó theo dõi hơn. Có thể có một hoặc nhiều tệp PHP độc hại trên trang web của bạn. Tất cả các tệp này có thể nằm trong cùng một thư mục con hoặc rải rác trên trang web của bạn.
Đừng bị choáng ngợp khi nghĩ rằng bạn cần mở và xem qua mọi tệp PHP. Hãy bắt đầu bằng cách tạo một danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Dưới đây là một số cách để xác định tệp PHP đáng ngờ:
- Vì bạn đã tải lại các tệp CMS của mình, hãy chỉ xem các tệp không thuộc các tệp hoặc thư mục CMS mặc định. Điều này sẽ loại bỏ một số lượng lớn các tệp PHP và bạn chỉ cần xem một số tệp còn lại.
- Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi cuối cùng. Tìm các tệp đã được sửa đổi trong vòng vài tháng kể từ lần đầu tiên bạn phát hiện ra trang web của mình bị tấn công.
- Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.
Bước 4
Khi bạn đã có danh sách các tệp PHP đáng ngờ, hãy kiểm tra xem chúng có độc hại không. Nếu bạn không quen thuộc với PHP, quá trình này có thể tốn nhiều thời gian hơn, vì vậy, hãy cân nhắc việc xem một số tài liệu PHP. Nếu hoàn toàn không biết gì về lập trình, bạn nên yêu cầu trợ giúp. Trong thời gian chờ đợi, có một số mẫu cơ bản mà bạn có thể tìm để xác định các tệp độc hại.
Nếu bạn sử dụng CMS và không có thói quen chỉnh sửa trực tiếp các tệp đó, hãy so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định đi kèm với CMS cũng như mọi trình bổ trợ và giao diện. Tìm các tệp không thuộc về, cũng như các tệp lớn hơn phiên bản mặc định.
Trước tiên, hãy quét qua các tệp đáng ngờ mà bạn đã xác định để tìm các khối văn bản lớn có tổ hợp các chữ cái và số có vẻ lộn xộn. Khối văn bản lớn thường đứng sau tổ hợp các hàm
PHP như base64_decode, rot13, eval, strrev hoặc gzinflate.
Sau đây là ví dụ về hình thức của khối mã đó. Đôi khi toàn bộ mã này sẽ được nhồi nhét vào một dòng văn bản dài, khiến mã trông nhỏ hơn so với thực tế.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
Đôi khi mã không bị lộn xộn và trông giống như tập lệnh bình thường. Nếu bạn không chắc liệu mã có hại hay không, hãy ghé thăm Cộng đồng trợ giúp của Trung tâm Google Tìm kiếm, nơi một nhóm quản trị viên web có kinh nghiệm có thể giúp bạn xem các tệp.
Bước 5
Giờ khi bạn đã biết tệp nào đáng ngờ, hãy tạo bản sao lưu hoặc bản sao cục bộ bằng cách lưu các tệp đó vào máy tính, phòng trường hợp có tệp nào không độc hại và xoá các tệp đáng ngờ khỏi trang web của bạn.
Kiểm tra xem trang web của bạn có sạch hay không
Khi bạn đã hoàn tất việc loại bỏ các tệp bị tấn công, hãy kiểm tra xem nỗ lực của bạn có được đền đáp không. Bạn có nhớ những trang vô nghĩa mà bạn đã xác định trước đó không? Hãy sử dụng lại công cụ Tìm nạp như Google để xem các trang đó còn tồn tại hay không. Nếu Tìm nạp như Google phản hồi với trạng thái "Không tìm thấy" thì có khả năng bạn đã thành công và có thể chuyển sang khắc phục các lỗ hổng bảo mật trên trang web của mình.
Làm cách nào để tôi ngăn chặn việc bị tấn công lại?
Việc khắc phục các lỗ hổng trên trang web là bước thiết yếu cuối cùng để sửa lỗi trang web. Một nghiên cứu gần đây đã phát hiện ra rằng 20% trang web bị tấn công lại trong vòng một ngày. Việc biết chính xác cách thức trang web của bạn bị tấn công rất hữu ích. Hãy đọc hướng dẫn các cách hàng đầu mà trang web bị người gửi spam tấn công để bắt đầu điều tra. Tuy nhiên, nếu bạn không thể tìm ra cách thức trang web của mình bị tấn công, sau đây là danh sách kiểm tra gồm những điều bạn có thể làm để giảm các lỗ hổng bảo mật trên trang web của mình:
- Thường xuyên quét máy tính của bạn: Sử dụng bất kỳ trình quét virus phổ biến nào để kiểm tra virus hoặc các lỗ hổng.
- Thay đổi mật khẩu thường xuyên: Việc thường xuyên thay đổi mật khẩu cho tất cả tài khoản trang web như nhà cung cấp dịch vụ lưu trữ, FTP và CMS có thể ngăn chặn hành vi truy cập trái phép vào trang web của bạn. Điều quan trọng là tạo mật khẩu mạnh và duy nhất cho mỗi tài khoản.
- Sử dụng Xác thực hai yếu tố (2FA): Cân nhắc việc bật 2FA trên bất kỳ dịch vụ nào yêu cầu bạn đăng nhập. 2FA khiến tin tặc khó đăng nhập hơn ngay cả khi chúng đã ăn cắp mật khẩu của bạn thành công.
- Cập nhật CMS, plugin, tiện ích và mô-đun của bạn thường xuyên: Hy vọng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì chúng đang chạy phần mềm đã lỗi thời. Một số CMS hỗ trợ tự động cập nhật.
- Cân nhắc đăng ký một dịch vụ bảo mật để theo dõi trang web của bạn: Có rất nhiều dịch vụ tốt trên mạng có thể giúp bạn theo dõi trang web của mình với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.
Tài nguyên khác
Nếu vẫn gặp sự cố khi khắc phục trang web của mình, bạn có thể tham khảo một số tài nguyên khác có thể giúp ích.
Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.
Đây chỉ là một số công cụ có thể quét trang web của bạn để tìm nội dung có vấn đề. Xin lưu ý rằng các trình quét này không thể đảm bảo sẽ xác định được mọi loại nội dung có vấn đề.
Dưới đây là các tài nguyên bổ sung từ Google có thể giúp bạn: