Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

WordPress Pharma Hack:Cách khắc phục Google Viagra Hack và kết quả spam

WordPress là một trong những CMS phổ biến nhất được sử dụng để tạo trang web và cửa hàng thương mại điện tử. Tuy nhiên, sự phổ biến của nó đã khiến nó trở thành mục tiêu thường xuyên của tin tặc và những kẻ gửi thư rác SEO. Tin tặc nhắm mục tiêu các trang web dựa trên WordPress với các loại tấn công phần mềm độc hại và các nỗ lực hack. Một trong những kỹ thuật hack thường xuyên nhất mà họ sử dụng là họ cố gắng thao túng các chỉ mục tìm kiếm để đưa nội dung không phục vụ vào các vị trí tìm kiếm nổi bật. Kỹ thuật Black Hat SEO (hack) này còn được gọi là ‘ WordPress Pharma hack hoặc SEO Spam ‘.

Tại sao tin tặc nhắm mục tiêu các trang web WordPress bằng Pharma Hack?

Đáp án đơn giản. Tìm kiếm trực tuyến là một nguồn chính của các giới thiệu có giá trị và các thủ thuật SEO là cách dễ nhất để đạt được điều này mà không cần thực hiện các công việc cần thiết. Nó đảm bảo cho tin tặc một vị trí hợp pháp trong SERP bằng cách xâm nhập vào các trang web có thẩm quyền cao và lây nhiễm cho họ bằng các bản hack chuyển hướng thư rác. Một cuộc tấn công như vậy gần đây, "Pharma Hack" hoặc "Pharma SEO Spam" hơi giống với các cuộc tấn công Spam link Injection đã được đưa ra ánh sáng và được coi là một trong những kỹ thuật SEO Mũ đen phổ biến nhất được sử dụng bởi tin tặc.

Hack Pharma là gì?

Pharma hack là một loại phần mềm độc hại lây nhiễm vào các trang web WordPress, dẫn đến một trang web hợp pháp chuyển hướng đến các trang spam hiển thị quảng cáo bán các phiên bản trùng lặp của hàng hóa có nhãn hiệu của các loại thuốc bất hợp pháp như Viagra và Cialis. Đôi khi cũng có thể bị nhiễm các loại dược phẩm khác. Tuy nhiên, Viagra và Cialis là phổ biến nhất.

Trong một trong những vụ hack WordPress Pharma gần đây, chúng tôi thậm chí còn thấy một phiên bản hack tinh vi. Trong phiên bản này, tin tặc đã chỉnh sửa kết quả tìm kiếm của Google với tên của trang web trong tiêu đề. Điều này khiến mọi người tin rằng một trang web hợp pháp thực sự là về các sản phẩm dược phẩm.

WordPress Pharma Hack:Cách khắc phục Google Viagra Hack và kết quả spam

Cách tìm xem trang web WordPress của bạn có bị nhiễm Pharma Hack hay không

Thư rác SEO rất khó phát hiện vì quản trị viên web không trực tiếp nhìn thấy nó. Những kẻ gửi thư rác làm mọi cách để che giấu công việc của họ, thực hiện theo các phương pháp như ‘che giấu’. Tuy nhiên, bạn có thể kiểm tra xem trang web của mình có bị nhiễm một bản hack Pharma hay không. Đọc tiếp để tìm hiểu cách bạn có thể tìm thấy bản hack dược phẩm WordPress:

Tìm kiếm của Google có thể hiển thị danh sách các trang web bị ảnh hưởng với các từ khóa như viagra wp-page . Tuy nhiên, do chính sách quản trị trang web của Google, các trang web bị ảnh hưởng không hiển thị trên trang đầu tiên. Vì vậy, bạn sẽ phải cuộn đến trang 3 hoặc 4. Nếu trang web của bạn xuất hiện trong tìm kiếm, điều đó có nghĩa là bạn là nạn nhân của WordPress Pharma Hack hoặc Black Hat SEO Spam khác.

Danh sách này không chỉ bao gồm các trang web bị nhiễm mà còn hiển thị các trang giả mạo. Việc nhấp vào các trang như vậy có thể chuyển hướng bạn đến các trang khác hoặc tải nội dung trên cùng một trang do bị lây nhiễm.

Để kiểm tra những trang nào trên trang web của bạn bị nhiễm viagra SEO spam . Thêm từ khóa ‘ viagra ‘Với tên miền của bạn trong tìm kiếm của google, tức là viagra mydomain.com . Đôi khi chỉ một số trang trên trang web của bạn bị nhiễm và những trang đó không hiển thị với bạn. Tìm kiếm này sẽ đưa ra những trang bị nhiễm. Trong trường hợp họ chuyển hướng đến các trang web bán Viagra và Cialis, bạn đã bị nhiễm spam SEO. Đôi khi thay vì chuyển hướng, nội dung được tải trên cùng một trang do bị lây nhiễm.

WordPress Pharma Hack:Cách khắc phục Google Viagra Hack và kết quả spam

Phương pháp 2:Kiểm tra kết quả dưới dạng Google Bot

Như đã nêu, các trang spam này không hiển thị trên công cụ tìm kiếm nhưng một số tác nhân người dùng nhất định, như Googlebot, có thể nhìn thấy chúng. Để xem những gì Googlebot nhìn thấy, bạn có thể sử dụng Trình chuyển tác nhân người dùng của trình duyệt. Bạn có thể cài đặt một cho Chrome hoặc Firefox.

  1. Cài đặt tiện ích bổ sung User-Agent Switcher yêu thích của bạn
  2. Điều hướng đến trang web bị nhiễm virut
  3. Chỉnh sửa chuỗi Tác nhân người dùng thành bất kỳ chuỗi nào được cung cấp bên dưới:
    a) Mozilla / 5.0 (tương thích; Googlebot / 2.1; + https://www.google.com/bot.html)
    b) Googlebot / 2.1 (+ https://www.google.com/bot.html)
  4. Nhấp chuột phải vào trang và xem nguồn trang. Điều này sẽ cho phép bạn xem chuyển hướng.

Lưu ý:Giữ cho Trình chuyển đổi tác nhân người dùng hoạt động trong thời gian dài có thể khiến bạn bị chặn hoặc đưa vào danh sách đen khỏi các trang web duy trì bảo mật thích hợp vì bạn sẽ xuất hiện với tư cách là Googlebot đối với họ.

Tương tự như điều này, nếu bạn đang tìm cách xóa hack dược phẩm trong các trang web Drupal CMS hoặc PHP, hãy đọc hướng dẫn hack dược phẩm Drupal.

Giải phẫu WordPress Pharma Hack

Lần xuất hiện

Để tiến hành hack dược phẩm WordPress, trước tiên kẻ tấn công khai thác một lỗ hổng đã biết hoặc khai thác zero-day. Dưới đây là danh sách đầy đủ những điều có thể xảy ra trong trường hợp như vậy. Để đơn giản hóa, một số cách phổ biến nhất là:

  1. Chèn SQL hoặc XSS xảy ra do các tiêu chuẩn mã hóa bị lỗi. Bạn nên giữ một tab trên hai tab này.
  2. Tài khoản hoặc mật khẩu FTP yếu là nguyên nhân chính thứ hai. Gần đây, kho lưu trữ GitHub của Linux Gen cũng bị tấn công do thông tin đăng nhập yếu.
  3. Hầu hết thời gian, danh sách nội dung và hiển thị lỗi được bật. Do đó, các tệp quan trọng có thể đọc công khai trên mạng.
  4. Sử dụng các plugin chưa được vá hoặc lỗi thời là một trong những nguyên nhân chính gây ra các vụ hack WordPress. Luôn cập nhật!

Sự bền bỉ

Các bản hack WordPress dược hoạt động bằng cách thay đổi nội dung của thư mục gốc. Hầu hết các cuộc tấn công spam xảy ra thông qua /misc thư mục và /includes thư mục. Những kẻ gửi thư rác có được sự bền bỉ (truy cập kéo dài) bằng các phương pháp đã biết như:

  • Sửa đổi các tệp như index.php, wp-page.php, nav.php vv
  • Thêm các trang mới như leftpanelsin.php, cache.php vv
  • Chỉnh sửa xmlrpc.php để tránh bị quản trị viên phát hiện.
  • Sử dụng mã hóa base64 để làm xáo trộn mã.
  • Ẩn các tệp spam bên trong /images thư mục . Trình thu thập dữ liệu web không mong đợi thấy các tệp ở đây nên nó sẽ tránh bị phát hiện.
  • Dấu chấm tiếp theo trước phần mở rộng tệp. Do đó, đổi tên trang thành .somefile ẩn.
  • Kỹ thuật che giấu:Phân biệt giữa các trình thu thập thông tin web dựa trên tác nhân người dùng. Do đó, nội dung mà Googlebot nhìn thấy khác với nội dung mà người dùng Mozilla nhìn thấy.
  • Sử dụng các công việc cron để hoàn thiện lại.

Kết quả

  • Trang web của bạn mất đi danh tiếng khó kiếm được do hiển thị Quảng cáo Viagra và Cialis.
  • Bạn có thể bị Google đưa vào danh sách đen, điều này gây khó khăn cho việc lấy lại danh tiếng.
  • Người dùng của bạn không tin tưởng trang web của bạn.
  • Thứ hạng tìm kiếm của bạn giảm xuống.
  • Trang web của bạn bắt đầu tạo ra các nhấp chuột cho các trang web khác mà bạn đã làm việc chăm chỉ để có được.

Google hiển thị kết quả spam về Dược phẩm cho trang web của bạn? Gửi tin nhắn cho chúng tôi trên tiện ích trò chuyện.

Cách sửa lỗi hack WordPress Pharma

WordPress Pharma Hack bị ẩn. Vì vậy, tìm kiếm các tệp bị nhiễm và xóa chúng sẽ là một nhiệm vụ dài và tẻ nhạt. Dưới đây là những gì bạn nên làm để loại bỏ hack:

1. Sao lưu

Tạo một bản sao lưu hoàn chỉnh cho trang web của bạn là một phương pháp được khuyến khích. Nó có thể hữu ích nếu có bất kỳ vấn đề gì xảy ra với quá trình dọn dẹp. Vì vậy, hãy luôn đảm bảo chuẩn bị sẵn một chiến lược dự phòng. Bản sao lưu về cơ bản phải bao gồm các tệp cốt lõi, cơ sở dữ liệu và các tệp plugin và chủ đề.

2. Quét trang web của bạn để tìm phần mềm độc hại

Sử dụng các công cụ quét phần mềm độc hại trực tuyến như VirusTotal để gắn cờ lây nhiễm. Bạn cũng có thể dùng thử Máy quét phần mềm độc hại của Astra để quét chính xác hơn. Điều này sẽ gắn cờ tất cả các tệp và mã độc hại trong trang web của bạn trong vài phút, đồng thời giúp báo cáo quá trình xóa phần mềm độc hại cho bạn.

WordPress Pharma Hack:Cách khắc phục Google Viagra Hack và kết quả spam

3. Xóa mọi tệp bị nhiễm

Kết nối với máy chủ lưu trữ của bạn thông qua FTP. Bạn cũng có thể sử dụng trình quản lý tệp. Sau đó, điều hướng đến thư mục / wp-content / và tìm kiếm bất kỳ tệp nào bị tấn công trong plugin.

Các tệp bị tấn công sẽ có các từ như .class , .cache , .old trong chúng để ngụy trang dưới dạng tệp plugin. Dấu chấm (.) Phía trước tên tệp sẽ làm cho chúng bị ẩn trừ khi tùy chọn “hiển thị tệp ẩn” được chọn. Xóa mọi tệp như vậy.

4. Xóa thư mục tạm thời

Thư mục / wp-content / temp / có thể xuất hiện do nhiễm trùng. Truy cập / wp-content / temp / và xóa nội dung của nó. Tin tặc sử dụng thư mục tạm thời và tệp TMP để tránh bất kỳ loại tham nhũng nào trong quá trình cài đặt phần mềm độc hại.

5. Kiểm tra tệp .htaccess

Tệp .htaccess là tệp cấu hình máy chủ. Nó xác định cách các yêu cầu máy chủ được xử lý. Tin tặc cũng sử dụng sức mạnh của tệp để tạo các cửa hậu vào trang web của bạn. Hãy tìm mã như thế này:

RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} 200
RewriteRule ^ - [L]
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] #checks for Google, Yahoo, msn, aol and bing crawler
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^(.*)$ somehackfile.php?$1 [L] #redirects to a hack file

Bạn cũng có thể tạo lại tệp .htaccess.

  1. Truy cập trang tổng quan WordPress của bạn.
  2. Nhấp vào Cài đặt, sau đó chọn Liên kết cố định.
  3. Nhấp vào Lưu!

6. Xóa mã độc khỏi cơ sở dữ liệu

Bạn nên tạo một bản sao lưu trước khi thực hiện bất kỳ thay đổi nào đối với cơ sở dữ liệu. Nếu bạn chưa làm điều đó trước đây, bạn thực sự nên làm điều đó ngay bây giờ, vì bước này có thể nhạy cảm.

Đối với bước này, bạn có thể mua các dịch vụ xóa phần mềm độc hại chuyên nghiệp hoặc cố gắng tự dọn dẹp cơ sở dữ liệu của mình.

  1. Truy cập phpMyAdmin
  2. Chọn cơ sở dữ liệu
  3. Nhấp vào bảng wp_options
  4. Tìm kiếm các mục nhập độc hại bằng cách sử dụng tab Tìm kiếm

Một số mục nhập độc hại mà bạn nên tìm kiếm là:

  • wp_check_hash
  • class_generic_support
  • widget_generic_support
  • ftp_credentials
  • fwp

Lưu ý:Hãy hết sức cẩn thận để không xóa thông tin quan trọng khỏi bảng wp_options, vì nó có thể khiến trang web của bạn hoạt động sai và gặp sự cố.

Lưu ý:Nếu bạn không rành về công nghệ, tốt hơn hết bạn nên tìm kiếm sự trợ giúp từ bên ngoài.

7. Tìm kiếm và xóa mã đáng ngờ

Mã trông đáng ngờ thường là một trong những nguyên nhân chính khiến các trang web WordPress bị tấn công. Mã mẫu có thể trông giống như sau:

<ul id="menu">

<li><a href="attackerdomain.com">Something1</a></li>

Loại mã này chuyển hướng trang web của bạn đến một miền do kẻ tấn công kiểm soát. Vì vậy, bạn nên kiểm tra bất kỳ miền nào không quen thuộc. Đây là một trong những nguyên nhân chính gây ra các vụ hack dược phẩm WordPress.

Thường thì những kẻ tấn công giấu mã của chúng trong base64 để tránh bị phát hiện. Ví dụ:attackerdomain.com sẽ trông giống như “YXR0YWNrZXJkb21haW4uY29t”, khiến nó khó bị phát hiện. Để tìm kiếm các mã hóa cơ sở 64 trong tệp, lệnh grep rất hữu ích:

find . -name "*.php" -exec grep "base64"'{}'\; -print &> b64-detections.txt

Đoạn mã này về cơ bản tìm kiếm trong các tệp .php mà bạn chọn cho các mã hóa base64. Sau đó, kết quả được lưu trữ trong tệp có tên b64-detection.txt. Cuối cùng, bạn có thể sử dụng một tài nguyên trực tuyến để giải mã những điều này và xem những gì đang diễn ra đằng sau hậu trường.

8. Xóa thư mục tạm thời

Đi tới /wp-contents/temp/ và xóa nội dung của nó. Tin tặc sử dụng thư mục tạm thời và tệp TMP để tránh bất kỳ loại tham nhũng nào trong quá trình cài đặt phần mềm độc hại.

9. Quét sự khác biệt về nội dung

Bạn có thể sử dụng các plugin trực tuyến để quét các thay đổi của tệp. Một ví dụ về máy quét như vậy là Máy quét khai thác. Nó quét tất cả các tệp cốt lõi và các tệp của bên thứ ba có trong kho lưu trữ chính thức của WordPress để tìm các mục nhập hoặc tên tệp đáng ngờ và bất thường.

Sau khi tìm ra tệp nào bị tấn công, bạn có thể xóa mã bị nhiễm hoặc khôi phục tệp plugin. Điều quan trọng là phải làm sạch hoàn toàn mã - bất kỳ mã độc hại nào còn sót lại đều có thể lây nhiễm lại trang web của bạn.

Cách Ngăn chặn Hack WordPress Pharma

  • Sử dụng thông tin đăng nhập và mật khẩu mạnh của người dùng để đăng nhập vào trang web và cơ sở dữ liệu của bạn. Tin tặc có thể dễ dàng cưỡng bức thông tin đăng nhập yếu của người dùng, sau đó xâm nhập vào trang web của bạn.
  • Triển khai tường lửa trang web cho trang web WordPress của bạn. Nó sẽ giúp bạn bảo mật trang web của mình trước sự xâm nhập của Pharma hack và bảo vệ khỏi một loạt các mối đe dọa mạng.
  • Limit folder permissions to avoid unwanted access.
  • Disable or uninstall any suspicious or unused plugins and themes in your WordPress. Most plugins and themes can become easy entry points for the hackers due to vulnerability present in them.
  • If your CMS core, plugin, or theme version is outdated then should update them as soon a possible to prevent vulnerability exploitation which may make you a victim of Pharma hack.
  • It is always a good practice to know all the security loopholes and vulnerabilities present in your WordPress site. To uncover such potential security loopholes and fix them before hacker take advantage of them – you should do regular security audits for your website(s) and protect against hacks such as Pharma hack.
WordPress Pharma Hack:Cách khắc phục Google Viagra Hack và kết quả spam