Để giữ cho trang web của bạn sạch sẽ và ngăn chặn các vụ tấn công trong tương lai, bạn sẽ cần những điều sau:
- Quyền truy cập của quản trị viên shell hoặc thiết bị đầu cuối vào các máy chủ của trang web: web, cơ sở dữ liệu, tệp
- Có kiến thức về lệnh shell hoặc lệnh Terminal
- Hiểu biết về mã (chẳng hạn như PHP hoặc JavaScript)
- Bộ nhớ để tạo bản sao lưu trang web của bạn, bao gồm tệp, cơ sở dữ liệu và hình ảnh
Hành động tiếp theo
Chúng tôi sẽ đề cập đến một số hành động trong bước này:
- Nơi tìm nguồn tài nguyên bổ sung nếu bạn cho rằng tin tặc có ý định lấy thông tin người dùng thông tin cá nhân (chẳng hạn như với các trang lừa đảo).
- Tuỳ chọn sử dụng Xoá URL trong Search Console để đẩy nhanh việc xoá các nội dung hoàn toàn mới, không mong muốn, URL hiển thị cho người dùng do tin tặc tạo mà bạn không muốn xuất hiện Kết quả tìm kiếm trên Google.
- Lựa chọn Yêu cầu Google thu thập lại dữ liệu các URL của bạn trong Search Console để đẩy nhanh quá trình xử lý của Google đối với các trang sạch – là các trang mới hoặc mới cập nhật -- mà bạn muốn xuất hiện trong kết quả của Google Tìm kiếm.
- Cài đặt phiên bản phần mềm mới nhất, an toàn nhất.
- Xoá các ứng dụng hoặc plugin không cần thiết hoặc không được sử dụng có thể khiến trang web của bạn dễ bị tấn công hơn trong tương lai.
- Khôi phục nội dung tốt và xoá nội dung của tin tặc.
- Khắc phục lỗ hổng là nguyên nhân gốc rễ mà tin tặc đã khai thác.
- Đang thay đổi tất cả mật khẩu.
- Lập kế hoạch để giữ an toàn cho trang web của bạn.
1. Tìm tài nguyên hỗ trợ
Nếu thông tin mật của người dùng được lấy từ trang web của bạn (ví dụ: vì đó là một phần của cuộc tấn công lừa đảo), bạn có thể cân nhắc trách nhiệm kinh doanh, trách nhiệm pháp lý hoặc trách nhiệm pháp lý của bạn trước khi bắt đầu dọn dẹp vệ sinh trang web của bạn hoặc xoá bất kỳ tệp nào. Trong trường hợp lừa đảo, antiphishing.org có các tài nguyên hữu ích như tài liệu của họ Việc cần làm nếu trang web của bạn bị tấn công bởi kẻ tấn công giả mạo.
2. Cân nhắc đẩy nhanh việc xóa các URL mới do tin tặc tạo
Nếu tin tặc tạo các URL hoàn toàn mới và hiển thị cho người dùng, bạn có thể các trang được xoá khỏi kết quả của Google Tìm kiếm một cách nhanh chóng hơn bằng cách sử dụng Xoá URL trong Search Console. Bước này là bước không bắt buộc. Nếu bạn chỉ xoá trang rồi định cấu hình máy chủ để trả về trạng thái 404 , các trang sẽ dần bị gỡ khỏi chỉ mục của Google theo thời gian.
- Quyết định sử dụng Xóa URL có thể phụ thuộc vào số lượng URL mới, các trang không mong muốn được tạo (quá nhiều trang có thể cồng kềnh để đưa vào Xoá URL) cũng như thiệt hại tiềm ẩn mà những trang này có thể gây ra cho người dùng. Để ngăn các trang được gửi qua công cụ Xoá URL không bao giờ xuất hiện trong kết quả tìm kiếm, hãy chắc chắn rằng các trang này cũng được định cấu hình để trả về lỗi 404 Không tìm thấy tệp phản hồi cho các URL không mong muốn và đã bị xoá.
- Không sử dụng công cụ này để yêu cầu xóa bất kỳ trang nào từng hợp lệ chỉ bị tin tặc làm hỏng. Bạn sẽ muốn các trang này xuất hiện trong kết quả tìm kiếm sau khi chúng đã được dọn dẹp. Xoá URL chỉ áp dụng cho trang bạn sẽ không bao giờ muốn xuất hiện trong các kết quả.
3. Cân nhắc việc đẩy nhanh tiến trình xử lý các trang sạch của Google
Nếu có trang sạch mới hoặc cập nhật, bạn có thể Yêu cầu Google thu thập lại dữ liệu các URL của bạn trong Search Console để gửi những trang này đến chỉ mục của Google. Đây là tuỳ chọn; nếu bạn bỏ qua bước này, các trang mới hoặc được sửa đổi của bạn có thể được thu thập thông tin và xử lý theo thời gian.
4. Bắt đầu làm sạch (các) máy chủ của bạn
Bây giờ là lúc bắt đầu dọn dẹp trang web của bạn dựa trên các ghi chú bạn đã ghi lại trong khi Đánh giá thiệt hại và Xác định lỗ hổng bảo mật. Chiến lược phát hành đĩa đơn ở bước này phụ thuộc vào loại bản sao lưu bạn có:
- Bản sao lưu sạch và cập nhật
- Bản sao lưu sạch nhưng đã lỗi thời
- Không có bản sao lưu
Trước tiên, hãy kiểm tra để đảm bảo bản sao lưu của bạn được tạo trước khi trang web bị tấn công.
Bản sao lưu sạch và cập nhật
- Khôi phục bản sao lưu của bạn.
- Cài đặt bất kỳ bản nâng cấp, cập nhật hay vá lỗi nào. bao gồm cho hệ điều hành nếu bạn kiểm soát máy chủ và tất cả ứng dụng, chẳng hạn như hệ thống quản lý nội dung, nền tảng thương mại điện tử, trình bổ trợ hoặc mẫu.
- Hãy xem xét xoá phần mềm mà trang web không còn sử dụng khỏi máy chủ của bạn nữa (chẳng hạn như tiện ích, plugin hoặc ứng dụng) .
- Sửa lỗ hổng.
- Đảm bảo tất cả các vấn đề phát hiện được trong quá trình Đánh giá thiệt hại được xử lý.
- Thay đổi mật khẩu một lần nữa cho tất cả tài khoản liên quan đến trang web đó (ví dụ: thông tin đăng nhập để truy cập FTP, truy cập cơ sở dữ liệu, quản trị viên hệ thống và tài khoản CMS). Trên các hệ thống có nền tảng Unix:
passwd admin1
Bản sao lưu sạch nhưng đã lỗi thời
- Tạo hình ảnh đĩa của trang web hiện tại của bạn mặc dù trang web vẫn bị nhiễm. Bản sao này chỉ nhằm mục đích an toàn. Đánh dấu bản sao là bị nhiễm để phân biệt nội dung đó so với những người khác. Trên hệ thống có nền tảng Unix, có thể làm như sau để tạo ảnh ổ đĩa:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
- Tạo bản sao hệ thống tệp sao lưu của máy chủ của bạn, bao gồm cả hình ảnh và nội dung nghe nhìn tệp. Nếu có cơ sở dữ liệu, bạn cũng nên sao lưu cơ sở dữ liệu.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
- Khôi phục bản sao lưu sạch nhưng đã lỗi thời trên máy chủ của bạn.
- Xem xét xem bạn có thể loại bỏ phần mềm trên máy chủ của mình hay không (ví dụ: tiện ích, trình bổ trợ hoặc ứng dụng) mà trang web không còn sử dụng.
- Nâng cấp tất cả phần mềm, bao gồm cả hệ điều hành nếu bạn đang kiểm soát máy chủ, và tất cả các ứng dụng phần mềm, chẳng hạn như hệ thống quản lý nội dung, nền tảng thương mại điện tử, trình bổ trợ và mẫu. Hãy nhớ kiểm tra và cài đặt các bản cập nhật và bản vá bảo mật hiện có.
- Sửa lỗ hổng.
- Thực hiện trang web
diff
theo cách thủ công hoặc theo cách tự động -- giữa bản sao lưu sạch và bản sao hiện tại bị nhiễm độc.
diff -qr www/ backups/full-backup-20120124/
- Tải lên mọi nội dung mới, rõ ràng mà bạn muốn giữ lại từ bản sao bị nhiễm độc trên máy chủ đã nâng cấp.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
- Kiểm tra để đảm bảo từng URL được liệt kê từ Đánh giá thiệt hại đã được sửa.
- Thay đổi mật khẩu một lần nữa cho tất cả tài khoản liên quan đến trang web đó (ví dụ: thông tin đăng nhập để truy cập FTP, truy cập cơ sở dữ liệu, truy cập hệ thống Google Workspace và tài khoản CMS). Trên các hệ thống có nền tảng Unix:
$passwd admin1
Không có bản sao lưu
Tạo hai bản sao lưu của trang web ngay cả khi trang web vẫn bị nhiễm. Có thêm tính năng sao lưu sẽ giúp khôi phục nội dung bị xoá do vô tình hoặc cho phép bạn hoàn nguyên và thử lại nếu có vấn đề xảy ra. Hãy gắn nhãn mỗi bản sao lưu là "bị nhiễm" để tham khảo trong tương lai.
Một trong những bản sao lưu của bạn sẽ là ảnh ổ đĩa hoặc "bản sao" của trang web của bạn. Chiến dịch này giúp việc khôi phục nội dung trở nên đơn giản hơn. Bạn có thể bỏ qua hình ảnh ổ đĩa cho trường hợp khẩn cấp. Trên hệ thống có nền tảng Unix, hãy sử dụng mã sau để tạo ổ đĩa hình ảnh:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
Bản sao lưu còn lại sẽ là bản sao hệ thống tệp từ máy chủ của bạn, bao gồm cả hình ảnh và tệp đa phương tiện. Nếu có cơ sở dữ liệu, bạn cũng nên sao lưu cơ sở dữ liệu đó.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
Nếu bạn không có hình ảnh đĩa, hãy tạo hai bản sao lưu của cơ sở dữ liệu và hai bản sao lưu của hệ thống tệp.
Để làm sạch nội dung của trang web trên bản sao hệ thống tệp sao lưu mới (không phải máy chủ ), hãy làm như sau:
- Nếu cuộc điều tra trước đó của bạn cho thấy quyền truy cập tệp quá rộng, hãy tiếp tục và sửa chúng. Hãy đảm bảo rằng bạn làm việc này trên bản sao lưu, chứ không phải trên máy chủ .
- Ngoài ra, trên bản sao lưu, hãy xoá tất cả tệp tương ứng với URL được phát hiện bị xâm nhập trong phần Đánh giá thiệt hại. Các có thể là tệp cấu hình máy chủ, JavaScript, HTML hoặc PHP.
- Ngoài ra, hãy nhớ xoá (phản hồi 404) cho các tệp mới được tạo bằng tin tặc mà bạn có thể đã gửi hoặc chưa gửi thông qua Công cụ xóa URL trong Search Console.
- Sửa lỗ hổng nếu có trong mã hoặc các mật khẩu bị bẻ khóa của bạn. Thư viện xác thực dữ liệu đầu vào hoặc kiểm tra bảo mật có thể hữu ích.
- Nếu trang web của bạn có cơ sở dữ liệu, hãy bắt đầu dọn dẹp các bản ghi do tin tặc sửa đổi trong bản sao lưu của bạn. Ngay trước khi bạn nghĩ mình đã hoàn tất, hãy kiểm tra thêm các bản ghi để đảm bảo cơ sở dữ liệu trông gọn gàng.
- Thay đổi mật khẩu một lần nữa cho tất cả tài khoản liên quan đến trang web (cho ví dụ: thông tin đăng nhập để truy cập FTP, truy cập cơ sở dữ liệu, quản trị viên hệ thống và tài khoản CMS). Trên các hệ thống có nền tảng Unix, hãy sử dụng mã sau:
$passwd admin1
Tại thời điểm này, bản sao lưu từng bị nhiễm của trang web của bạn sẽ chỉ chứa làm sạch dữ liệu. Lưu trữ bản sao sạch này và chuyển sang hành động #5.
5. Xoá phần mềm không cần thiết
Hãy cân nhắc xem bạn có thể xoá phần mềm trên máy chủ của mình, chẳng hạn như tiện ích, trình bổ trợ hoặc ứng dụng mà trang web không còn sử dụng. Việc này có thể làm tăng bảo mật và đơn giản hoá việc bảo trì trong tương lai.
6. Làm sạch tất cả máy chủ
- Hãy thực hiện cài đặt mới chứ không chỉ nâng cấp. Quá trình nâng cấp có thể để lại tệp
từ phiên bản trước đó. Nếu tệp bị nhiễm vẫn còn trên máy chủ, trang web của bạn
có nhiều khả năng bị tấn công lại.
- Bản cài đặt mới phải bao gồm hệ điều hành nếu bạn có quyền kiểm soát máy chủ và tất cả các ứng dụng phần mềm, chẳng hạn như nội dung hệ thống quản lý, nền tảng thương mại điện tử, trình bổ trợ và mẫu. Đảm bảo để kiểm tra các bản cập nhật và bản vá bảo mật hiện có.
- Chuyển nội dung tốt từ bản sao hệ thống tệp sao lưu sạch sang (các) máy chủ mới được cài đặt. Chỉ tải lên và khôi phục dữ liệu đã xoá đã biết tệp hoặc cơ sở dữ liệu. Hãy nhớ duy trì các quyền thích hợp đối với tệp và không ghi đè tệp hệ thống mới được cài đặt.
- Thay đổi mật khẩu lần cuối cho tất cả tài khoản liên quan đến trang web (ví dụ: thông tin đăng nhập để truy cập FTP, truy cập cơ sở dữ liệu, quản trị viên hệ thống, và CMS). Trên các hệ thống có nền tảng Unix, hãy sử dụng mã sau:
passwd admin1
7. Tạo kế hoạch bảo trì dài hạn
Bạn nên thực hiện những điều sau:
- Thường xuyên thực hiện sao lưu tự động trang web của bạn.
- Hãy thận trọng về việc cập nhật phần mềm.
- Tìm hiểu các phương pháp bảo mật của tất cả ứng dụng, trình bổ trợ và các phương pháp khác phần mềm bên thứ ba trước khi cài đặt trên máy chủ của mình. Chứng khoán lỗ hổng bảo mật trong một ứng dụng phần mềm có thể ảnh hưởng đến sự an toàn của toàn bộ trang web.
- Tạo mật khẩu mạnh.
- Giữ an toàn cho tất cả các thiết bị dùng để đăng nhập vào máy (phiên bản cập nhật hệ thống và trình duyệt).
8. Kiểm tra lại để đảm bảo việc dọn dẹp đã hoàn tất
Đảm bảo bạn có thể trả lời "có" cho các câu hỏi sau:
- Tôi đã thực hiện các bước thích hợp nếu tin tặc lấy được người dùng cá nhân không?
- Trang web của tôi có đang chạy phiên bản phần mềm mới nhất, an toàn nhất?
- Tôi đã xóa tất cả các ứng dụng hoặc plugin không cần thiết hoặc không được sử dụng có thể làm cho trang web của tôi dễ bị tấn công hơn trong tương lai?
- Tôi đã khôi phục nội dung của mình và gỡ bỏ nội dung của tin tặc chưa?
- Tôi đã sửa lỗ hổng là nguyên nhân gốc rễ khiến trang web của tôi bị tấn công chưa?
- Tôi có kế hoạch giữ an toàn cho trang web của mình không?
Giờ đây, bạn có thể đưa trang web của mình trực tuyến trở lại.