Khắc phục website bị tấn công bằng từ khóa tiếng Nhật

Hướng dẫn này được tạo riêng cho một kiểu tấn công bằng cách tạo tự động văn bản tiếng Nhật trên trang web của bạn mà chúng tôi gọi là tấn công bằng từ khóa tiếng Nhật. Hướng dẫn được thiết kế cho người dùng của Hệ thống quản lý nội dung (CMS) phổ biến, nhưng bạn sẽ thấy hướng dẫn này hữu ích ngay cả khi không sử dụng CMS.

Xác định kiểu tấn công này

Kiểu tấn công bằng từ khoá tiếng Nhật thường tạo các trang mới bằng văn bản tiếng Nhật được tạo tự động trên trang web của bạn với tên thư mục được tạo ngẫu nhiên (ví dụ: http://example.com/ltjmnjp/341.html). Những trang này được kiếm tiền bằng cách sử dụng đường dẫn tiếp thị liên kết đến các cửa hàng bán hàng giả, sau đó hiển thị trong Google Tìm kiếm. Sau đây là ví dụ về hình thức của một trong những trang này:

Với kiểu tấn công này, tin tặc thường sẽ tự thêm mình làm chủ sở hữu tài sản trong Search Console để tăng lợi nhuận bằng cách thao túng các chế độ cài đặt của trang web như nhắm mục tiêu theo địa lý hoặc sơ đồ trang web. Nếu bạn nhận được thông báo rằng một người mà bạn không biết đã xác minh trang web của bạn trong Search Console, thì rất có khả năng trang web của bạn đã bị tấn công.

Hãy bắt đầu bằng cách kiểm tra công cụ Vấn đề bảo mật trong Search Console để xem liệu Google có phát hiện thấy bất kỳ trang nào bị tấn công trên trang web của bạn hay không. Đôi khi, bạn cũng có thể phát hiện các trang như thế này bằng cách mở cửa sổ Google Tìm kiếm và nhập site:_your site url_ với URL cấp cơ sở của trang web. Báo cáo này sẽ cho bạn thấy các trang mà Google đã lập chỉ mục cho trang web của bạn, bao gồm các trang bị tấn công. Lướt qua một vài trang kết quả tìm kiếm để xem bạn có phát hiện thấy URL bất thường nào không. Nếu bạn không thấy bất kỳ nội dung bị tấn công nào trong Google Tìm kiếm, hãy sử dụng cùng một cụm từ tìm kiếm với công cụ tìm kiếm khác. Sau đây là ví dụ minh hoạ.

Lưu ý: Hãy lưu ý rằng kết quả tìm kiếm này chứa nhiều trang không do chủ sở hữu trang web tạo. Nếu nhìn kỹ các mô tả, bạn sẽ thấy các ví dụ về văn bản vô nghĩa mà kiểu tấn công này tạo ra.

Thông thường, khi nhấp vào liên kết đến một trang bị tấn công, bạn sẽ được chuyển hướng đến một trang web khác hoặc bạn sẽ thấy một trang chứa đầy nội dung vô nghĩa. Tuy nhiên, bạn cũng có thể thấy thông báo cho biết trang không tồn tại (ví dụ: lỗi 404). Đừng để bị lừa! Tin tặc sẽ cố gắng lừa bạn nghĩ rằng trang đã biến mất hoặc đã được khắc phục trong khi trang vẫn bị tấn công. Chúng làm điều này bằng cách che giấu nội dung. Hãy kiểm tra kỹ thuật che giấu bằng cách nhập URL của trang web vào công cụ Kiểm tra công cụ URL. Công cụ Tìm nạp như Google cho phép bạn xem nội dung bị ẩn.

Nếu bạn thấy những vấn đề này, rất có thể trang web của bạn đã bị ảnh hưởng bởi kiểu tấn công này.

Khắc phục tấn công

Trước khi bắt đầu, hãy tạo một bản sao ngoại tuyến của bất kỳ tệp nào trước khi bạn xoá tệp, phòng khi bạn cần khôi phục tệp sau này. Tốt hơn là bạn nên sao lưu toàn bộ trang web trước khi bắt đầu quá trình dọn dẹp. Bạn có thể thực hiện việc này bằng cách lưu tất cả các tệp trên máy chủ vào một vị trí ngoài máy chủ hoặc tìm các tùy chọn sao lưu tốt nhất cho Hệ thống quản lý nội dung (CMS) cụ thể của bạn. Nếu đang sử dụng CMS, bạn cũng nên sao lưu cơ sở dữ liệu.

Xóa các tài khoản mới được tạo khỏi Search Console

Nếu một chủ sở hữu mới mà bạn không nhận ra được thêm vào tài khoản Search Console của bạn, hãy thu hồi quyền truy cập của họ càng sớm càng tốt. Bạn có thể kiểm tra xem người dùng nào được xác minh cho trang web của bạn trên trang xác minh Search Console. Nhấp vào “Chi tiết xác minh” cho trang web để xem tất cả người dùng đã được xác minh.

Để xoá chủ sở hữu khỏi Search Console, hãy đọc qua phần Xoá chủ sở hữu trong Trung tâm trợ giúp về việc quản lý người dùng, chủ sở hữu và quyền. Bạn cần phải xoá mã xác minh liên kết, thường là tệp HTML trên thư mục gốc của trang web hoặc tệp .htaccess được tạo động bắt chước tệp HTML.

Nếu bạn không tìm thấy mã xác minh HTML trên trang web của mình, hãy kiểm tra quy tắc ghi lại trong tệp .htaccess. Quy tắc ghi lại sẽ có dạng như sau:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Lưu ý: Thường thì bạn có thể kiểm tra xem mình đã xoá mã xác minh được tạo động hay chưa bằng cách chuyển đến tệp mã xác minh được mô phỏng như wwww.example.com/google[random number and letters].html. Ví dụ: nếu trang web của bạn là www.brandons {2}cards.com”, hãy thử điều hướng đến www.brandons {2}cards.com/google1234.html). Nếu trang đó trả về HTTP 404 thì mã xác minh được tạo tự động có thể đã được khắc phục.

Để xoá mã xác minh được tạo động khỏi tệp .htaccess, hãy làm theo các bước dưới đây.

Kiểm tra tệp .htaccess (2 bước)

Ngoài việc sử dụng tệp .htaccess để tạo mã xác minh được tạo theo phương thức động, tin tặc thường sử dụng các quy tắc .htaccess để chuyển hướng người dùng hoặc tạo các trang vi phạm vô nghĩa. Nếu bạn không có các quy tắc .htaccess tuỳ chỉnh, hãy cân nhắc thay thế .htaccess bằng một bản sao hoàn toàn mới.

Bước 1

Tìm tệp .htaccess trên trang web của bạn. Nếu bạn không biết chắc nên tìm tệp ở đâu và bạn đang sử dụng CMS như WordPress, Joomla hoặc Drupal, hãy tìm “htaccess file location” trong một công cụ tìm kiếm cùng với tên CMS của bạn. Tuỳ thuộc vào trang web, bạn có thể thấy nhiều tệp .htaccess. Tạo danh sách tất cả vị trí tệp .htaccess.Lưu ý: .htaccess thường là “tệp ẩn”. Nhớ bật tính năng hiển thị các tệp ẩn khi bạn tìm kiếm tệp này.

Bước 2

Thay thế tất cả tệp .htaccess bằng một phiên bản sạch hoặc mặc định của tệp .htaccess. Thường thì bạn có thể tìm thấy phiên bản mặc định của tệp .htaccess bằng cách tìm “tệp .htaccess mặc định” và tên CMS của bạn. Đối với các trang web có nhiều tệp .htaccess, hãy tìm phiên bản sạch của từng tệp và tiến hành thay thế.

Nếu không có .htaccess mặc định nào tồn tại và bạn chưa từng định cấu hình tệp .htaccess trên trang web của mình, thì tệp .htaccess mà bạn tìm thấy trên trang web có thể gây hại. Lưu bản sao của(các) tệp .htaccess ngoại tuyến để đề phòng trường hợp cần đến và xoá tệp .htaccess khỏi trang web của bạn.

Xóa tất cả các tệp và tập lệnh độc hại (4 bước)

Việc xác định các tệp độc hại có thể rất phức tạp và có thể mất vài giờ. Hãy dành thời gian kiểm tra tệp của bạn. Nếu bạn chưa làm điều này, đây là thời điểm tốt để sao lưu các tệp trên trang web của bạn. Hãy tìm kiếm “sao lưu trang web” kèm theo tên CMS của bạn trên Google để tìm hướng dẫn về cách sao lưu trang web.

Bước 1

Nếu bạn sử dụng CMS, hãy cài đặt lại tất cả các tệp cốt lõi (mặc định) có trong bản phân phối mặc định của CMS, cũng như mọi nội dung bạn có thể đã thêm (chẳng hạn như giao diện, mô-đun, trình bổ trợ). Điều này giúp đảm bảo rằng các tệp này không chứa nội dung bị tấn công. Bạn có thể tìm kiếm “cài đặt lại” và tên CMS của bạn trên Google để tìm hướng dẫn về quá trình cài đặt lại. Nếu bạn có bất kỳ trình bổ trợ, mô-đun, tiện ích hay chủ đề nào, hãy nhớ cài đặt lại các trình bổ trợ, mô-đun, tiện ích hay chủ đề đó.Chú ý: Việc cài đặt lại các tệp cốt lõi có thể khiến bạn mất mọi tuỳ chỉnh mà bạn đã thực hiện. Hãy đảm bảo tạo một bản sao lưu cơ sở dữ liệu và tất cả các tệp trước khi cài đặt lại.

Bước 2

Tin tặc thường sửa đổi sơ đồ trang web của bạn hoặc thêm một sơ đồ trang web mới để giúp URL của chúng được lập chỉ mục nhanh hơn. Nếu trước đây bạn đã có tệp sơ đồ trang web, hãy kiểm tra tệp để tìm bất kỳ đường liên kết đáng ngờ nào và xóa chúng khỏi sơ đồ trang web của bạn. Nếu có bất kỳ tệp sơ đồ trang web nào mà bạn không nhớ đã thêm vào trang web của mình, hãy kiểm tra kỹ và xoá tệp nếu tệp chỉ chứa URL vi phạm.

Bước 3

Tìm các tệp độc hại hoặc bị xâm phạm còn lại. Bạn có thể đã xoá tất cả các tệp độc hại trong 2 bước trước. Tuy nhiên, tốt nhất bạn nên thực hiện các bước tiếp theo này phòng trường hợp có thêm tệp trên trang web đã bị xâm phạm.

Đừng bị choáng ngợp khi nghĩ rằng bạn cần mở và xem qua mọi tệp PHP. Hãy bắt đầu bằng cách tạo một danh sách các tệp PHP đáng ngờ mà bạn muốn điều tra. Dưới đây là một số cách để xác định tệp PHP nào đáng ngờ:

• Nếu bạn đã tải lại các tệp CMS của mình, hãy chỉ xem các tệp không thuộc các tệp hoặc thư mục CMS mặc định của bạn. Điều này sẽ loại bỏ số lượng lớn tệp PHP và bạn chỉ cần xem một số tệp còn lại.
• Sắp xếp các tệp trên trang web của bạn theo ngày sửa đổi lần cuối. Tìm các tệp đã được sửa đổi trong vòng vài tháng kể từ lần đầu tiên bạn phát hiện ra trang web của mình bị tấn công.
• Sắp xếp các tệp trên trang web của bạn theo kích thước. Tìm bất kỳ tệp nào có kích thước lớn bất thường.

Lưu ý: Những kẻ tấn công thường chèn các tập lệnh vào các tệp sau: index.php, wp-load.php, 404.php và view.php.

Bước 4

Khi bạn đã có danh sách các tệp PHP đáng ngờ, hãy kiểm tra xem các tệp này có độc hại hay không. Nếu bạn không quen thuộc với PHP, quá trình này có thể tốn nhiều thời gian hơn, vì vậy, hãy cân nhắc việc xem một số tài liệu PHP. Nếu hoàn toàn không biết gì về lập trình, bạn nên yêu cầu trợ giúp. Trong thời gian chờ đợi, có một số mẫu cơ bản mà bạn có thể tìm để xác định các tệp độc hại.

Nếu bạn sử dụng CMS và không có thói quen chỉnh sửa trực tiếp các tệp đó, hãy so sánh các tệp trên máy chủ của bạn với danh sách các tệp mặc định được đóng gói với CMS cũng như bất kỳ trình bổ trợ và giao diện nào. Tìm các tệp không thuộc về, cũng như các tệp có kích thước lớn hơn kích thước mặc định.

Quét qua các tệp đáng ngờ mà bạn đã xác định để tìm các khối mã bị làm rối. Thư mục này có thể trông giống như một tổ hợp các chữ cái và số có vẻ lộn xộn. Mã bị làm rối thường nằm trước tổ hợp các hàm PHP như base64_decode, rot13, eval, strrev, gzinflate. Sau đây là một ví dụ về hình thức của khối mã. Đôi khi toàn bộ mã này sẽ được nhồi vào một dòng văn bản dài, khiến mã trông nhỏ hơn so với thực tế.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Kiểm tra xem trang web của bạn đã sạch chưa

Khi bạn đã loại bỏ xong các tệp bị tấn công, hãy kiểm tra xem nỗ lực của bạn có được đền đáp không. Bạn có nhớ những trang vô nghĩa mà bạn đã xác định trước đó không? Hãy sử dụng lại công cụ Tìm nạp như Google để xem các trang đó còn tồn tại hay không. Nếu Tìm nạp như Google cho biết “Không tìm thấy”, có khả năng trang web của bạn đã khá ổn và có thể chuyển sang khắc phục các lỗ hổng trên trang web của mình.Lưu ý: Bạn cũng có thể làm theo các bước trong Trình khắc phục sự cố trang web bị tấn công để kiểm tra xem liệu còn nội dung bị tấn công trên trang web của bạn hay không.

Làm cách nào để tôi ngăn chặn việc bị tấn công lại?

Việc khắc phục các lỗ hổng trên trang web là bước thiết yếu cuối cùng để sửa trang web của bạn. Một nghiên cứu gần đây đã phát hiện ra rằng 20% trang web bị tấn công lại bị tấn công trong vòng 1 ngày. Việc biết chính xác cách trang web của bạn bị tấn công sẽ hữu ích. Hãy đọc các hướng dẫn những cách hàng đầu khiến trang web bị người gửi nội dung không liên quan tấn công để bắt đầu điều tra. Tuy nhiên, nếu bạn không thể tìm hiểu cách trang web của mình bị tấn công, dưới đây là danh sách kiểm tra gồm những điều bạn có thể làm để giảm các lỗ hổng trên trang web của mình.

• Thường xuyên quét máy tính của bạn: Sử dụng bất kỳ trình quét vi-rút phổ biến nào để kiểm tra vi-rút hoặc các lỗ hổng.
• Thay đổi mật khẩu thường xuyên: Việc thường xuyên thay đổi mật khẩu cho tất cả tài khoản trang web như nhà cung cấp dịch vụ lưu trữ, FTP và CMS có thể ngăn chặn hành vi truy cập trái phép vào trang web của bạn. Điều quan trọng là phải tạo một mật khẩu mạnh, duy nhất cho mỗi tài khoản.
• Sử dụng tính năng Xác thực hai yếu tố (2FA): Cân nhắc việc bật tính năng 2FA trên bất kỳ dịch vụ nào yêu cầu bạn đăng nhập. 2FA khiến tin tặc khó đăng nhập hơn ngay cả khi đã đánh cắp mật khẩu của bạn thành công.
• Cập nhật CMS, trình bổ trợ, tiện ích và mô-đun của bạn thường xuyên: Hy vọng bạn đã thực hiện bước này. Nhiều trang web bị tấn công vì phần mềm lỗi thời đang chạy trên trang web. Một số CMS hỗ trợ tự động cập nhật.
• Xem xét việc đăng ký dịch vụ bảo mật để theo dõi trang web của bạn: Có rất nhiều dịch vụ tốt trên mạng có thể giúp bạn theo dõi trang web của mình với một khoản phí nhỏ. Hãy cân nhắc việc đăng ký với họ để giữ cho trang web của bạn an toàn.

Tài nguyên khác

Nếu bạn vẫn gặp sự cố khi khắc phục trang web của mình, có một vài tài nguyên khác có thể giúp bạn.

Những công cụ này quét trang web của bạn và có thể tìm thấy nội dung có vấn đề. Ngoài VirusTotal, Google không chạy hoặc hỗ trợ các công cụ này.

Nguồn: web.dev