Hướng dẫn này được tạo riêng cho một kiểu tấn công có thể tạo ra văn bản tiếng Nhật được tạo tự động trên trang web của bạn, mà chúng tôi sẽ gọi là Tấn công bằng từ khóa tiếng Nhật. Quảng cáo này được thiết kế cho những người dùng Hệ thống quản lý nội dung (CMS), nhưng bạn sẽ thấy hướng dẫn này hữu ích ngay cả khi không sử dụng CMS.
Chúng tôi muốn đảm bảo rằng hướng dẫn này thực sự hữu ích cho bạn. Để lại ý kiến phản hồi để giúp chúng tôi cải thiện!
Xác định kiểu xâm nhập này
Tấn công bằng từ khoá tiếng Nhật thường tạo các trang mới bằng cơ chế tạo tự động
Văn bản tiếng Nhật trên trang web của bạn trong các tên thư mục được tạo ngẫu nhiên
(ví dụ: http://example.com/ltjmnjp/341.html). Những trang này
kiếm tiền bằng cách sử dụng đường dẫn tiếp thị liên kết đến các cửa hàng bán hàng giả
rồi xuất hiện trên Google Tìm kiếm. Sau đây là ví dụ về hình thức của một trong những trang này:
Với loại hình xâm nhập này, tin tặc thường sẽ tự thêm mình làm tài sản trong Search Console, để tăng lợi nhuận bằng cách thao túng các cài đặt như nhắm mục tiêu theo địa lý hoặc sơ đồ trang web. Nếu bạn nhận được thông báo rằng người nào đó bạn không biết đã đã xác minh trang web của bạn trong Search Console, thì có khả năng cao là trang web của bạn đã bị tấn công.
Hãy bắt đầu bằng cách kiểm tra
Vấn đề bảo mật
trong Search Console để xem liệu Google có phát hiện thấy trang nào trong số này bị tấn công hay không
trên trang web của bạn. Đôi khi, bạn cũng có thể phát hiện các trang như thế này bằng cách mở
Cửa sổ tìm kiếm và nhập site:_your site url_, với URL cấp cơ sở của
trang web của bạn. Thao tác này sẽ cho bạn thấy những trang mà Google đã lập chỉ mục cho trang web của bạn,
bao gồm cả các trang bị tấn công. Lướt qua một vài trang kết quả tìm kiếm để
nếu bạn phát hiện thấy bất kỳ URL bất thường nào. Nếu bạn không thấy bất kỳ nội dung bị tấn công nào trong Google
Tìm kiếm, sử dụng cùng cụm từ tìm kiếm với công cụ tìm kiếm khác. Sau đây là một
ví dụ về giao diện sẽ trông như sau:
Thông thường, khi nhấp vào đường liên kết tới một trang bị tấn công, bạn sẽ đã chuyển hướng đến một trang web khác hoặc thấy trang đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết rằng trang không tồn tại (ví dụ: ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn cho rằng trang đã biến mất hoặc đã được khắc phục trong khi vẫn bị tấn công. Họ làm điều này bằng cách kỹ thuật che giấu nội dung. Kiểm tra che giấu bằng cách nhập URL của trang web của bạn vào Công cụ kiểm tra URL. Công cụ Tìm nạp như Google cho phép bạn xem nội dung bị ẩn.
Nếu bạn thấy những vấn đề này, trang web của bạn rất có thể đã bị ảnh hưởng bởi loại vấn đề này xâm nhập.
Khắc phục xâm nhập
Trước khi bắt đầu, hãy tạo bản sao ngoại tuyến của bất kỳ tệp nào trước khi bạn xoá chúng, trong khi bạn cần khôi phục chúng sau này. Tốt hơn là bạn nên sao lưu toàn bộ trang web của mình trước bạn bắt đầu quá trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ của bạn đến một vị trí ngoài máy chủ hoặc tìm kiếm bản sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu bạn đang sử dụng CMS, đồng thời sao lưu cơ sở dữ liệu.
Xóa các tài khoản mới được tạo khỏi Search Console
Nếu một chủ sở hữu mới mà bạn không nhận ra đã được thêm vào Search Console hãy thu hồi quyền truy cập của họ càng sớm càng tốt. Bạn có thể kiểm tra xem người dùng nào được xác minh cho trang web của bạn trên Trang xác minh Search Console. Nhấp vào "Chi tiết xác minh" cho trang web để xem tất cả người dùng đã được xác minh.
Để xóa chủ sở hữu khỏi Search Console, hãy tham khảo mục Xóa chủ sở hữu
của
Trung tâm trợ giúp về việc quản lý người dùng, chủ sở hữu và quyền.
Bạn cần phải xoá mã xác minh được liên kết. Mã này thường
là tệp HTML tại thư mục gốc của trang web hoặc tệp được tạo động
Tệp .htaccess bắt chước tệp HTML.
Nếu bạn không tìm thấy mã xác minh HTML trên trang web của mình, hãy kiểm tra xem có viết lại hay không
trong tệp .htaccess. Quy tắc ghi lại sẽ giống như sau:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Cách xoá mã xác minh được tạo tự động khỏi .htaccess của bạn
, hãy làm theo các bước sau:
Kiểm tra tệp .htaccess (2 bước)
Ngoài việc sử dụng tệp .htaccess để tạo phương thức xác minh được tạo linh động
mã thông báo, tin tặc thường sử dụng các quy tắc .htaccess để chuyển hướng người dùng hoặc tạo
các trang spam vô nghĩa. Nếu bạn không có quy tắc .htaccess tuỳ chỉnh, hãy cân nhắc
thay thế .htaccess bằng một bản sao hoàn toàn mới.
Bước 1
Xác định vị trí tệp .htaccess trên trang web của bạn. Nếu bạn không biết tìm tính năng này ở đâu
và bạn sử dụng CMS như WordPress, Magento hoặc Drupal, hãy tìm kiếm
"vị trí tệp .htaccess" trong công cụ tìm kiếm cùng với tên CMS của bạn.
Bạn có thể thấy nhiều tệp .htaccess, tùy thuộc vào trang web của bạn.
Lập danh sách tất cả vị trí tệp .htaccess.
Bước 2
Thay thế tất cả tệp .htaccess bằng phiên bản .htaccess mặc định hoặc sạch
. Thường thì bạn có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm kiếm
đối với "tệp .htaccess mặc định" và tên CMS của bạn. Đối với trang web có nhiều
.htaccess tệp, hãy tìm phiên bản sạch của từng tệp và thay thế các tệp đó.
Nếu không có .htaccess mặc định và bạn chưa từng định cấu hình .htaccess
trên trang web của bạn, thì tệp .htaccess mà bạn tìm thấy trên trang web của mình có thể là
độc hại. Lưu bản sao của .htaccess tệp khi không có mạng trong trường hợp
xoá tệp .htaccess khỏi trang web của bạn.
Xóa tất cả các tệp và tập lệnh độc hại (4 bước)
Việc xác định tệp độc hại có thể phức tạp và tốn thời gian. Hãy lấy khi kiểm tra tệp. Nếu bạn chưa đi, đây là thời điểm thích hợp để quay lại các tệp trên trang web của bạn. Tìm kiếm cụm từ "sao lưu trang web" trên Google và tên của CMS của bạn để xem hướng dẫn về cách sao lưu trang web.
Bước 1
Nếu bạn sử dụng CMS, hãy cài đặt lại tất cả các tệp chính (mặc định) có trong bản phân phối mặc định của CMS của bạn, cũng như mọi nội dung bạn đã thêm vào (chẳng hạn như giao diện, mô-đun hoặc trình bổ trợ). Điều này giúp đảm bảo rằng các tệp này không có nội dung bị tấn công. Bạn có thể tìm kiếm "cài đặt lại" trên Google và tên CMS của bạn để tìm hướng dẫn cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích, hoặc giao diện, hãy nhớ cài đặt lại các giao diện đó.
Bước 2
Tin tặc thường sửa đổi sơ đồ trang web của bạn hoặc thêm một sơ đồ trang web mới để lừa đảo URL được lập chỉ mục nhanh hơn. Nếu trước đây bạn đã có tệp sơ đồ trang web, hãy kiểm tra tệp đó đối với mọi đường liên kết đáng ngờ và xoá chúng khỏi sơ đồ trang web của bạn. Nếu có tệp sơ đồ trang web mà bạn không nhớ đã thêm vào trang web của mình, hãy kiểm tra kỹ các tệp đó và hãy xoá chúng nếu chúng chỉ chứa URL spam.
Bước 3
Tìm kiếm mọi tệp độc hại hoặc bị xâm phạm khác. Bạn có thể đã xoá tất cả các tệp độc hại trong hai bước trước đó, nhưng tốt nhất là nên qua các bước tiếp theo phòng khi có nhiều tệp khác trên trang web của bạn bị đã bị xâm nhập.
Đừng bị choáng ngợp khi nghĩ rằng bạn cần mở và xem qua mọi PHP. Hãy bắt đầu bằng cách tạo một danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Dưới đây là một số cách để xác định tệp PHP nào đáng ngờ:
- Nếu bạn đã tải lại các tệp CMS của mình, hãy chỉ xem các tệp không liên quan của các tệp hoặc thư mục CMS mặc định. Điều này sẽ loại trừ nhiều tệp PHP và bạn chỉ cần xem một số tệp.
- Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi lần cuối. Tìm được sửa đổi trong vòng vài tháng kể từ lần đầu tiên phát hiện ra trang web của bạn bị tấn công.
- Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.
Bước 4
Khi bạn đã có danh sách các tệp PHP đáng ngờ, hãy kiểm tra các tệp này để xem có nội dung độc hại không. Nếu bạn không quen thuộc với PHP, quá trình này có thể tốn nhiều thời gian hơn, vì vậy, hãy cân nhắc việc xem một số tài liệu PHP. Nếu hoàn toàn không biết gì về lập trình, bạn nên yêu cầu trợ giúp. Trong thời gian chờ đợi, có một số mẫu cơ bản mà bạn có thể tìm để xác định các tệp độc hại.
Nếu bạn sử dụng CMS và không có thói quen chỉnh sửa trực tiếp các tệp PHP, so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định được đóng gói CMS và bất kỳ trình bổ trợ cũng như chủ đề nào. Tìm các tệp không thuộc về, cũng như lớn hơn phiên bản mặc định.
Quét qua các tệp đáng ngờ mà bạn đã xác định để tìm các khối
mã bị làm rối mã nguồn. Công cụ này có thể trông giống như sự kết hợp của các thông tin có vẻ lộn xộn
chữ cái và số, thường đứng sau tổ hợp các hàm PHP như
base64_decode, rot13, eval, strrev hoặc gzinflate. Sau đây là ví dụ về
khối mã sẽ trông như thế nào. Đôi khi, tất cả mã này sẽ bị chèn
thành một dòng văn bản dài, làm cho văn bản trông nhỏ hơn kích thước thực tế.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Kiểm tra xem trang web của bạn có sạch không
Sau khi bạn hoàn tất việc loại bỏ các tệp bị tấn công, hãy kiểm tra xem bạn có chăm chỉ hay không đã được đền đáp. Bạn có nhớ những trang vô nghĩa mà bạn đã xác định trước đó không? Sử dụng phương thức Tìm nạp dưới dạng công cụ của Google để xem chúng còn tồn tại hay không. Nếu họ phản hồi là "Không tìm thấy" trong Tìm nạp như Google, có khả năng bạn đang hiệu quả và bạn có thể chuyển sang bước sửa các lỗ hổng bảo mật trên trang web của mình.
Làm cách nào để tôi ngăn chặn việc bị tấn công lại?
Việc khắc phục các lỗ hổng bảo mật trên trang web là bước thiết yếu cuối cùng để sửa lỗi của bạn. Một nghiên cứu gần đây đã chỉ ra rằng 20% trang web bị tấn công lại trong một ngày. Việc biết chính xác cách thức trang web của bạn bị tấn công rất hữu ích. Hãy đọc hướng dẫn những cách phổ biến nhất mà trang web bị người gửi spam tấn công để bắt đầu điều tra. Tuy nhiên, nếu bạn không thể tìm ra cách trang web của bạn đã bị tấn công, sau đây là danh sách kiểm tra gồm những việc bạn có thể làm để giảm các lỗ hổng bảo mật trên trang web của bạn.
- Thường xuyên quét máy tính của bạn: Sử dụng bất kỳ trình quét virus phổ biến nào để kiểm tra phát hiện vi-rút hoặc lỗ hổng bảo mật.
- Thay đổi mật khẩu thường xuyên: Thường xuyên đổi mật khẩu thành tất cả tài khoản trang web của bạn, chẳng hạn như nhà cung cấp dịch vụ lưu trữ, FTP và CMS đều có thể ngăn chặn truy cập trái phép vào trang web của bạn. Điều quan trọng là bạn phải tạo ra một mật khẩu duy nhất cho mỗi tài khoản.
- Mục đích sử dụng Xác thực hai yếu tố (2FA): Hãy cân nhắc việc bật tính năng Xác thực hai yếu tố trên bất kỳ dịch vụ nào yêu cầu bạn đăng nhập. Xác thực hai yếu tố khiến tin tặc khó đăng nhập hơn ngay cả khi chúng đánh cắp thành công mật khẩu của bạn.
- Cập nhật CMS, trình bổ trợ, tiện ích và mô-đun của bạn thường xuyên: Hy vọng rằng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì chúng đang chạy phần mềm lỗi thời. Một số CMS hỗ trợ tự động cập nhật.
- Xem xét việc đăng ký một dịch vụ bảo mật để giám sát trang web của bạn: Có rất nhiều dịch vụ tuyệt vời có thể giúp bạn theo dõi với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.
Tài nguyên khác
Nếu bạn vẫn gặp sự cố khi khắc phục trang web của mình, có một vài nguyên nhân khác có thể hữu ích với bạn.
Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.
Đây chỉ là một số công cụ có thể quét trang web của bạn để tìm các vấn đề nội dung. Xin lưu ý rằng các trình quét này không thể đảm bảo rằng chúng sẽ xác định mọi loại nội dung có vấn đề.
Dưới đây là các tài nguyên bổ sung từ Google có thể giúp bạn: