Hầu hết khách hàng phát hiện ra rằng trang web của họ bị tấn công khi nhìn thấy 'Màn hình đỏ chết chóc' của Google hoặc khi khách hàng nói với họ. Điều này có thể nguy hiểm vì nó có nghĩa là trang web của bạn đã bị nhiễm virut trong một thời gian dài và có thể đã làm hỏng danh tiếng và quyền riêng tư của trang web của bạn.
Ngày nay, các trang web đã trở thành trung tâm của tất cả các doanh nghiệp. Họ xử lý mọi thứ từ giao dịch Thương mại điện tử, dữ liệu khách hàng, tiếp thị và mọi thứ liên quan. Tuy nhiên, bảo mật trang web dường như bị bỏ qua trong khi xây dựng sản phẩm và cuối cùng bị tấn công. Có một câu nói trong ngành An ninh:
Mọi trang web bất kể nó được lưu trữ ở đâu, quy mô của nhóm phát triển, HTTPS đều dễ bị tấn công nếu không có các biện pháp bảo mật thích hợp. Bảo mật là một quá trình đang diễn ra và bảo mật 100% là một huyền thoại. Tại Astra, chúng tôi đặc biệt khuyến khích khách hàng của mình thực hiện các biện pháp bảo mật chủ động và giúp họ chuẩn bị để giảm thiểu bất kỳ tình huống tấn công nào.
Với bài viết này, chúng ta hãy cố gắng phát hiện bất kỳ dấu hiệu nào cho thấy trang web của bạn có thể bị tấn công.
15 Dấu hiệu cho thấy Trang web của bạn đã bị tấn công
1. Google Chrome (hoặc một trình duyệt khác) Hiển thị Cảnh báo Khi Truy cập Trang web của Bạn
Nếu khách hàng của bạn (hoặc bạn) thấy thông báo từ Google Chrome với cảnh báo cho biết rằng trang web của bạn có thể bị tấn công, thì có thể là như vậy. Thông báo này được hiển thị khi trang web của bạn đã bị Duyệt web an toàn của Google đưa vào danh sách cấm.
Các trình duyệt phổ biến như Google Chrome, Mozilla Firefox, Safari &Opera sử dụng danh sách đen của Google để hiển thị thông báo cảnh báo cho khách truy cập. Xem một số thông báo cảnh báo mà Google hiển thị khi trang web của bạn bị tấn công. Các thông báo cảnh báo khác nhau tùy thuộc vào những gì Google tìm thấy trên trang web của bạn nhưng chúng ít nhiều trông giống như sau:
2. Google Search Console gửi thông báo cho biết trang web của bạn bị tấn công hoặc có phần mềm độc hại
Nếu trang web của bạn được liên kết với Google Search Console (trước đây được gọi là Google Webmaster Tools), Google sẽ gửi cho bạn một tin nhắn (và email) thông báo cho bạn về việc trang web của bạn bị tấn công. Điều này có nghĩa là Google đã phát hiện một số mã độc hại, nội dung spam hoặc có nghi ngờ hợp lý để tin rằng trang web của bạn đã bị xâm phạm. Kiểm tra blog chi tiết của chúng tôi về cách khắc phục nội dung kỹ nghệ xã hội và kích hoạt lại Google Ads bị từ chối.
Thông thường, thông báo này sẽ chứa thông tin chi tiết về các URL bị nghi ngờ và các vectơ tấn công có thể xảy ra. Phần sau của hướng dẫn này, chúng ta sẽ nói về những việc cần làm khi bạn nhận được một thông báo như vậy.
3. Công ty lưu trữ của bạn đã vô hiệu hóa trang web của bạn
Các công ty lưu trữ trang web thường xuyên quét máy chủ của họ để tìm mã độc và thường vô hiệu hóa ngay lập tức các trang web bị tấn công để đảm bảo sự lây nhiễm không lây lan sang các trang web khác trên máy chủ đó. Có thể có nhiều lý do khiến công ty lưu trữ của bạn có thể vô hiệu hóa trang web của bạn, bao gồm nhưng không giới hạn ở:
- Mã phần mềm độc hại được tìm thấy trên máy chủ của bạn
- Tên miền trang web của bạn đã bị đưa vào danh sách đen của Google, Norton Safe Web, Spamhaus, v.v.
- Email spam hoặc Lừa đảo được gửi từ máy chủ của bạn
- Mức sử dụng CPU cao do mã độc hại đang chạy trên trang web của bạn
Đây là blog chi tiết về lý do và giải pháp nếu công ty lưu trữ của bạn (Godaddy, HostGator, Hostinger, v.v.) đã tạm ngưng tài khoản của bạn.
4. Cổng đi 80, 443, 587 và 465 cho tài khoản của bạn bị chặn
Trong một số trường hợp, công ty lưu trữ có thể giới hạn tài nguyên cho trang web của bạn thay vì vô hiệu hóa hoàn toàn. GoDaddy, HostGator &BigRock có các hệ thống tự động để chặn các kết nối đến các cổng gửi đi như 80, 443, 587 và 465 cho tài khoản của bạn. Các biện pháp bảo mật như vậy được đưa ra để ngăn chặn sự lây nhiễm phần mềm độc hại và ngăn chặn thư rác từ máy chủ.
Sau khi các tệp độc hại đã được cách ly khỏi máy chủ và trang web của bạn vượt qua Trình quét vi-rút tự động, bạn có thể yêu cầu được bỏ chặn.
5. Khách hàng khiếu nại về việc thẻ tín dụng của họ bị hack
Trong những năm qua, tin tặc đã trở nên tinh vi và sử dụng các kỹ thuật độc hại để thu thập thông tin Thẻ tín dụng được nhập hoặc lưu trữ trên trang web của bạn. Họ bán các chi tiết thẻ này trên internet, sau đó được sử dụng để thực hiện một giao dịch gian lận với số tiền khác nhau (Từ $ 1 đến $ 1000 trở lên).
Các cuộc tấn công như vậy là có mục tiêu và được gây ra do các lỗ hổng bảo mật trong cửa hàng Thương mại điện tử của bạn. Nếu bạn đang sử dụng Hệ thống quản lý nội dung (CMS) như Magento, OpenCart hoặc PrestaShop, một trong những plugin đã cài đặt có thể chứa một số lỗi bảo mật nghiêm trọng.
Bài viết liên quan - Hack thẻ tín dụng trong Magento, OpenCart &WooCommerce
6. Email của bạn đã được gửi đến thư mục SPAM
Tin tặc được biết là sử dụng phần mềm độc hại trên các trang web bị tấn công để gửi email spam đến một số lượng lớn người. Do tính chất spam của email, các máy chủ email trên khắp thế giới có thể đã đưa máy chủ của bạn vào danh sách đen và đó là địa chỉ IP của nó. Kết quả là, ngay cả những email hợp pháp do bạn gửi cũng nằm trong thư mục spam. Every email in the spam folder is a loss of business &online reputation!
7. Strange Looking JavaScript In Your Website Code
If you notice any strange looking, obfuscated, or cryptic looking JavaScript code in the web page source, quickly comment it out. It may be used to steal passwords, credit card information or other sensitive customer information. It can also be used to redirect your visitors to other malicious website, pop-ups, advertisements etc.
Our security researchers recently found malicious jQuery code in a huge number of hacked Magento Stores. This tiny code snippet sends credit card information to malicious servers on the Checkout page. If you are facing similar problem check our detailed blog on Credit/Debit card malware hack.
8. Your Website Becomes Very Slow And Shows Error Messages
If you notice that your website has suddenly become very slow and shows error messages, it is likely that malware is utilizing your server resources. Most targeted pages are the checkout, payment, login and signup pages. For a page that normally loads in 4 seconds if it takes 10+ seconds, something is wrong.
9. You Find Unexpected Error Messages In Your Error Logs
Often you will find unexpected messages in the error logs about deprecated functions, undefined offsets, connection denied or other errors. If the file path or error looks unfamiliar, verify the authenticity of the code or run a malware scan. Some of the most common error messages are:
PHP Deprecated: Function ereg_replace() is deprecated in /home/xxxxxxxx/public_html/js/extjs/resources/images/magento/grid/kala.php(1) : eval()'d code on line 1
PHP Notice: Undefined index: _upl in /home/xxxxxxxx/public_html/index.php on line 64
PHP Fatal error: require_once(): Failed opening required '/home/xxxxxxxx/public_html/js/shell.php
PHP Parse error: syntax error, unexpected 'if' (T_IF) in /home/xxxxxxxx/public_html/js/index.php on line 40
10. You Find New Admin Users Or FTP Accounts Which You Haven’t Created
If you find new admin users, database users, FTP users it is a strong sign that you are hacked. Privileged accounts are left behind by hackers to continue having access to your website and server. Such accounts are used to backdoor your website and access if whenever they wish to.
Check our detailed blog posts how to safeguard admin panel for various CMS (WordPress, Magento, Opencart, Joomla etc.)
11. Files Have Been Recently Modified
If you notice core system files being recently modified, compare the files to earlier versions to find what has changed. An attacker could have modifies the files to run malicious code, send spam emails or create back-doors to your website.
If there are files with suspicious looking filenames, server-side scripts (.php, .aspx, .py etc) files in upload directories, it is a strong indication that your website is hacked.
Related Articles – How to identify &fix hacked WordPress files
12. Ads &Pop-ups Open When Visiting Your Website
If your website visitors see spam advertisements or popups, your website is likely to be compromised due to Cross-site Scripting (XSS) or malicious code injection. Hackers earn money from ad impressions. Google safe browsing team will send you a mail that they have detected social engineering content on your website.
13. Your Website Is Being Redirected to Hacked Sites
Again a sign of Cross-site Scripting or Server-side code manipulation where a hacker is able to redirect your web traffic to phishing pages, compromised websites or even competitor websites.
14. You See A Traffic Spike, Sometimes On Pages That Don’t Exist
Hackers use your hacked website for ‘spamvertising’ causing a traffic spike. Spam emails are sent from your server with links to existing or new pages that are created by the hacker. This comes from the words “spam” and “advertising”.
Spamvertising is used to vandalize blogs, website, forums and comment sections with hyperlinks in order to get a higher search engine ranking for the hacker’s website.
15. Unknown Code Or Redirects In The .htaccess File
In most cases of malicious redirects, the .htaccess file has been hacked and injected with redirection code. This is possible through “backdoor(s)”that a hacker may have placed on website files. Some of the possible symptoms:
- Your site shows a blank page and doesn’t load
- Your site gets redirected to some malicious website
- Your site redirects you to Google
- Your site can’t be accessed by Google
- Your .htaccess file keeps getting modified
What To Do If You Suspect Your Website Is Hacked
1. Run A VirusTotal.com Website Scan: VirusTotal is an amazing tool backed by Google which simultaneously scans over 70+ major blacklist and malware engines to check whether your website is hacked or not.
2. Check Blacklist Status on Google Safe Browsing Site Status page: Simply replace the ‘getastra.com’ with the URL of your website at the end of the URL and it will show you the blacklist status of your website with Google. It also shows you the details of the hack and steps you should take to fix this.
3. Disable Access To Your Website: Before any serious damage is done and the customer gets to know about the hack, put your website in maintenance mode and restrict access only to authorized users. You can do this by placing a .htpasswd.
4. Run The Virus Scanner In Your cPanel: Most of the hosting providers have automated Virus Scanners in the cPanel dashboard to find any known malware. These scans perform a basic search and help you identify the infected files. However, keep in mind that these scanners do not identify the reason for the hack, the vulnerability scanners do not protect your website from being re-infected .
5. Protect Your Website With a Website Firewall (WAF): Protect your website with a firewall like Astra Web Protection , which will prevent any such hacks in the future and ensure your website doesn’t get hacked. A web application firewall monitors the incoming traffic on your website and blocks the malicious requests. With Astra, you can also block bad bots and automated security tools by laying our strategic ‘honeypots’ and other sophisticated mechanisms.
6. Get Professional Website Malware Cleanup: You can engage security professionals to clean the hacked website for you.