Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Bị tấn công bằng phần mềm độc hại

Bước này liên quan đến các trang web bị tấn công để phân phối phần mềm độc hại, thường với cảnh báo "Trang web này có thể bị tấn công" được hiển thị trong kết quả tìm kiếm. Đây là một trong những bước dài nhất trong quá trình khôi phục. Trong bước này, bạn sẽ soạn một danh sách các tệp bị hỏng trên trang web của mình. Bạn sẽ sử dụng danh sách này trong bước sau, Làm sạch và bảo trì trang web của bạn.

Nếu trang web của bạn bị ảnh hưởng bởi spam chứ không phải phần mềm độc hại và hiển thị cảnh báo "Trang web này có thể bị tấn công" trong kết quả tìm kiếm, hãy xem Đánh giá thiệt hại do spam (Bị tấn công bởi spam).

Bạn sẽ cần:

  • Quyền truy cập quản trị viên shell/terminal vào các máy chủ của trang web: web, cơ sở dữ liệu, tệp.
  • Kiến thức về lệnh shell/terminal.
  • Khả năng chạy truy vấn SQL trên cơ sở dữ liệu.

Những gì bạn sẽ làm:

Chuẩn bị

  1. Tránh sử dụng một trình duyệt để xem các trang trên trang web của bạn. Bởi vì phần mềm độc hại thường lây lan bằng cách khai thác lỗ hổng trình duyệt, việc mở một trang bị nhiễm phần mềm độc hại trong một trình duyệt có thể làm hỏng máy tính của bạn.
  2. Tạo một tài liệu để ghi lại những phát hiện từ bước này. Tài liệu cuối cùng (tối thiểu) sẽ bao gồm tên/ vị trí của mỗi tệp bị hỏng và ghi chú về cách tệp đã bị nhiễm, và sẽ làm cơ sở cho việc Làm sạch và bảo trì trang web của bạn.
  3. Xem thêm tài nguyên khi cần thiết:
    • Xem video ở trên để biết cách hoạt động của phần mềm độc hại và cách bạn có thể giữ an toàn trong quá trình điều tra phần mềm độc hại.
    • Xem trang chẩn đoán Duyệt web an toàn của Google để xem thông tin công khai về việc một trang web có khả năng gây hại cho người dùng hay không. Bạn có thể xem trạng thái cho trang web của mình tại một URL tương tự như sau:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Ví dụ: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Sử dụng cURL hoặc Wget để thực hiện các yêu cầu HTTP (ví dụ: để tìm nạp trang).

    Các công cụ miễn phí rất hữu ích trong việc chẩn đoán chuyển hướng và có sự linh hoạt để bao gồm liên kết giới thiệu hoặc thông tin tác nhân người dùng. Việc bao gồm liên kết giới thiệu cụ thể hay tác nhân người dùng rất hữu ích trong việc mô phỏng tin tặc vì tin tặc chỉ có thể phân phối nội dung độc hại cho người dùng với tác nhân người dùng hay liên kết giới thiệu cụ thể để nhắm mục tiêu nhiều "người dùng thực" hơn và có thể tránh bị phát hiện bởi chủ sở hữu trang web và trình quét phần mềm độc hại.

    $curl -v --referer "http://www.google.com" <your-url>

Điều tra các loại nhiễm phần mềm độc hại cụ thể trên trang web của bạn

  1. Chọn trang web đã được xác minh của bạn trong Search Console và sau đó nhấp vào Vấn đề bảo mật.
  2. Điều tra tất cả các danh mục phần mềm độc hại (ví dụ: Cấu hình máy chủ, Đưa vào SQL) được liệt kê trong Vấn đề bảo mật cho trang web của bạn. Bạn có thể tìm thêm thông tin về URL bị nhiễm từ danh mục đó bằng cách nhấp vào "Hiển thị chi tiết". (Thông tin chi tiết có thể bao gồm các đoạn mã mẫu bị tin tặc đưa vào.) Đối với mỗi loại, hãy sao chép vào tài liệu điều tra của bạn:
    • Tất cả ví dụ về URL bị nhiễm được liệt kê cho danh mục phần mềm độc hại trong Vấn đề bảo mật.
    • Bất kỳ trang bị hỏng nào khác mà bạn phát hiện thấy trong quá trình điều tra.
    • Thông tin chi tiết về URL bị nhiễm, chẳng hạn như loại thiệt hại phát sinh.
  3. Sau đây là thông tin trợ giúp cho việc điều tra mỗi loại phần mềm độc hại:

Đánh giá thiệt hại với hệ thống tập tin

Tiếp theo, bạn cần phải đăng nhập vào hệ thống tệp của trang web để điều tra sâu hơn. Xin lưu ý rằng - ngoài những điều khác - tin tặc có thể đã sửa đổi các trang hoặc bản ghi cơ sở dữ liệu hiện có, tạo ra các trang spam hoàn toàn mới, viết các hàm để hiển thị spam trên các trang sạch hoặc để lại các "cửa hậu" cho phép tin tặc xâm nhập lại trang web của bạn hoặc sẽ tiếp tục thực hiện các thao tác độc hại nếu không bị xóa.

Nếu trang web của bạn đang trực tuyến, bạn có thể gỡ trang xuống cho bước này.

  1. Nếu bạn có một bản sao lưu tốt của trang web, hãy xác định tệp nào đã được tạo hoặc sửa đổi kể từ khi sao lưu. Thêm các tệp này vào danh sách vì bạn sẽ muốn điều tra thêm. Trên hệ thống có nền tảng Unix, bạn có thể sử dụng một lệnh như:
    $ diff -qr <current-directory> <backup-directory>
    Ví dụ:
    $ diff -qr www/ backups/full-backup-20120124/
    ngoài ra
    $ md5sum <current-page> <backup-page>
    Ví dụ:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Kiểm tra nhật ký máy chủ, truy cập và lỗi để tìm bất kỳ hoạt động đáng ngờ nào, chẳng hạn như các lần đăng nhập thất bại, lịch sử lệnh (đặc biệt từ cấp độ gốc), tạo tài khoản người dùng không xác định, v.v. Xin lưu ý rằng tin tặc có thể đã thay đổi các nhật ký này nhằm mục đích riêng của họ. (Nếu hữu ích, trong video có một số ví dụ về Xác định lỗ hổng.)
  3. Kiểm tra tệp cấu hình, chẳng hạn như .htaccess và httpd.conf, để tìm chuyển hướng. Các tin tặc thường tạo chuyển hướng có điều kiện dựa trên tác nhân người dùng, thời gian trong ngày hoặc liên kết giới thiệu.
  4. Kiểm tra để tìm các quyền quá rộng với thư mục và tệp. Các tin tặc can thiệp vào quyền bởi vì nếu chủ sở hữu trang web vẫn không phát hiện thấy các quyền quá rộng, tin tặc sẽ có cách xâm nhập lại vào trang web. Các tệp lớn hơn 644 (rw-r--r--) và các thư mục lớn hơn 755 (rwxr-xr-x) có thể gây vấn đề bảo mật. Hãy đảm bảo rằng bất kỳ quyền nào rộng rãi hơn đều thật sự cần thiết. Trên các hệ thống có nền tảng Unix, hãy thử:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Nếu bạn có một cơ sở dữ liệu, hãy điều tra từng bản ghi bằng cách sử dụng một công cụ như phpMyAdmin.

Bước tiếp theo

Bước tiếp theo trong quá trình này là Xác định lỗ hổng.