Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Làm thế nào để sửa chữa một trang web bị tấn công? Hoàn thành Tự làm để sửa trang web bị tấn công

Bảo mật trang web đóng một vai trò quan trọng trong việc mở rộng bất kỳ hoạt động kinh doanh trực tuyến nào. Trong những năm gần đây, các cuộc tấn công mạng đang gia tăng với các biến thể mới của ransomware và công cụ khai thác tiền điện tử được phát hiện hàng tháng. Điều này có nghĩa là các doanh nghiệp nhỏ hơn cần phải bỏ ra nhiều tiền hơn để giữ an toàn cho hoạt động kinh doanh trực tuyến của họ và sửa chữa trang web bị tấn công. Theo một báo cáo của Juniper Research,

Theo một báo cáo tội phạm hàng năm khác của Cybersecurity Ventures,

Gần đây, hơn 4.600 trang web đã bị tấn công bởi một mã độc lấy cắp thông tin thanh toán và dữ liệu người dùng khác. Các trang web bị xâm phạm bao gồm cửa hàng thương mại điện tử, blog, trang web học tập điện tử. Phần mềm độc hại đã lây nhiễm vào các trang web bằng cách sử dụng CDN của Picreel và Alpaca Form. Thông tin thẻ tín dụng bị đánh cắp đang được chuyển tiếp đến các máy chủ ở Panama. Mã nguồn của phần mềm độc hại tiết lộ các chức năng khác nhau được khai báo trong phần mềm độc hại giúp thu thập và chuyển tiếp dữ liệu. Hơn 1200 trang web vẫn bị nhiễm biến thể phần mềm độc hại Picreel và hơn 3700 trang web vẫn chứa mã do vi phạm Alpaca.

Với ngày càng nhiều biến thể phần mềm độc hại tinh vi xuất hiện mỗi ngày, việc trang web của bạn có thể trở thành nạn nhân tiếp theo chỉ là vấn đề thời gian. Vì vậy, điều quan trọng là phải tìm hiểu cách sửa chữa trang web bị tấn công và thực hiện các biện pháp ngăn chặn.

Sửa chữa trang web bị tấn công:Các triệu chứng của trang web bị tấn công

  • Các liên kết, tệp, người dùng quản trị, trang web, bảng, tập lệnh đáng ngờ và không xác định sẽ xuất hiện trên trang web của bạn.
  • Cửa sổ bật lên và quảng cáo chuyển hướng khách hàng đến các miền đặc biệt lây nhiễm sang trang web của bạn.
  • Trang web trở nên chậm và không phản hồi.
  • Tải nặng trên máy chủ mặc dù kết nối rất ít.
  • Người dùng phàn nàn về thông tin thẻ tín dụng bị đánh cắp từ trang web của bạn.
  • Nội dung vô nghĩa xuất hiện trên trang web của bạn là kết quả của Cuộc tấn công từ khóa của Nhật Bản hoặc Cuộc tấn công về dược phẩm.
  • Trong khi sử dụng dịch vụ lưu trữ của bên thứ ba, tài khoản của bạn sẽ bị cấm hoặc bị vô hiệu hóa.
  • Công cụ tìm kiếm cảnh báo người dùng không nên truy cập trang web của bạn.
  • Mật khẩu trang web của bạn đã được thay đổi và nhật ký cho thấy các nỗ lực ghi nhật ký thô bạo.
  • Các plugin và tiện ích mở rộng không xác định được cài đặt trên máy chủ của bạn.
  • Nhiều email spam được gửi từ máy chủ thư của trang web của bạn.
  • Dữ liệu của trang web được rao bán trên các diễn đàn internet.
  • Nhật ký lưu lượng truy cập từ Wireshark hoặc công cụ nắm bắt gói khác cho thấy dữ liệu đang được gửi đến các miền đáng ngờ.

Sửa chữa trang web bị tấn công:Loại bỏ phần mềm độc hại

  • Bước 1: Hãy sao lưu toàn bộ trang web của bạn. Sau đó, hãy đưa trang web của bạn vào chế độ bảo trì.
  • Bước 2: Bây giờ hãy tìm nguồn lây nhiễm. Nó có thể là một tập lệnh, tệp hoặc một trang web. Nhìn vào mã nguồn để xác định các mã hóa base64. Hãy nhớ kiểm tra mọi plugin hoặc tiện ích mở rộng mới.
  • Bước 3: Nếu trang web đã bị các công cụ tìm kiếm đưa vào danh sách đen, hãy sử dụng google console để xem nguyên nhân lây nhiễm. Hơn nữa, đừng quên xóa mọi quản trị viên không xác định. Nếu vẫn không thành công, hãy sử dụng các trình quét vi rút trực tuyến như Astra.
  • Bước 4: Xóa các dòng mã độc khỏi các tệp bị nhiễm. Xóa và các bảng đáng ngờ khỏi cơ sở dữ liệu. Nếu đó là một tệp nhạy cảm và bạn không chắc chắn về chức năng của mã, chỉ cần bình luận và liên hệ để được trợ giúp.
  • Bước 5: Khi quá trình dọn dẹp hoàn tất, đừng quên gửi trang web của bạn cho Google để xóa danh sách đen. Hơn nữa, cần phải xác định nguyên nhân của hack và vá nó để lây nhiễm không bùng phát trở lại. Hãy xem biểu đồ thông tin dưới đây để biết thêm thông tin.
Làm thế nào để sửa chữa một trang web bị tấn công? Hoàn thành Tự làm để sửa trang web bị tấn công

Mặc dù đây là các bước sửa chữa trang web bị tấn công chung, nhưng một số hướng dẫn sửa chữa trang web bị tấn công cụ thể của CMS được đưa ra bên dưới.

Bạn cần trợ giúp sửa chữa trang web bị tấn công? Làm sạch trang web của bạn ngay bây giờ

Xóa phần mềm độc hại OpenCart

Để xác định nguồn lây nhiễm, người dùng OpenCart nên kiểm tra tính toàn vẹn của các tệp lõi. Điều này ngụ ý rằng các tệp cốt lõi của OpenCart không được khác với các tệp có trong tài liệu chính thức trừ khi chúng đã được sửa đổi OCMOD / VQMOD vì những lý do hợp lệ. Điều này có thể được thực hiện bằng cách sử dụng ‘ diff’ lệnh của Linux. Tải xuống tệp từ kho lưu trữ chính thức vào một thư mục cục bộ và sau đó so sánh chúng bằng lệnh sau:

diff -r path / to / OpenCart / file.php /path/to/official/Opencart/file.php

Ngoài ra, đối với người dùng OpenCart, điều quan trọng là phải xóa thư mục cài đặt trước. Điều này có thể được tìm thấy bằng cách chỉ cần điều hướng đến thư mục gốc. Người dùng OpenCart cần bảo mật danh mục khỏi những kẻ tấn công. Điều này có thể được thực hiện bằng cách chặn quyền truy cập vào một số tệp nhạy cảm như .php , .txt của danh mục. Để làm như vậy, hãy nối các dòng mã sau vào .htaccess tệp bên trong thư mục danh mục:

Làm thế nào để sửa chữa một trang web bị tấn công? Hoàn thành Tự làm để sửa trang web bị tấn công

Bài viết liên quan - Hướng dẫn loại bỏ phần mềm độc hại và thực hành bảo mật Opencart cơ bản

Xóa phần mềm độc hại Prestashop

Để sửa chữa trang web bị tấn công của Prestashop, việc phát hiện sự lây nhiễm có thể được thực hiện bằng cách xem xét một số mô-đun được nhắm mục tiêu phổ biến. Đầu tiên, đăng nhập vào cửa hàng Prestashop của bạn bằng bất kỳ ứng dụng khách FTP nào. Sau đó, hãy tìm mã độc hại bên trong các thư mục sau:

  • mô-đun / homepageadvertise / slide
  • mô-đun / homepageadvertis2 / trang trình bày
  • mô-đun / productpageadverts / slide
  • mô-đun / cột / trang trình bày
  • mô-đun / simpleslideshow / slide

Theo dõi bất kỳ mã nào có vẻ được mã hóa base64. Nó có thể được khám phá bằng cách sử dụng G rep sau lệnh của Linux:

tìm thấy . -name “* .php” -exec grep “base64 ″‘ {} ’; -print &> secure.txt

Lệnh này sẽ lưu tất cả phiên bản được mã hóa base64 bên trong tệp nhiễm.txt. Từ đây, chúng có thể được giải mã bằng các công cụ trực tuyến và bị xóa.

Loại bỏ Phần mềm độc hại Drupal

Để sửa chữa trang web bị tấn công Drupal, trước tiên hãy đảm bảo rằng không có tệp không xác định nào có trong / drupal-admin thư mục. Một số tệp đáng ngờ cần chú ý là: Marvins.php, db_.php, 8c18ee, 83965, admin.php, buddy.strength, dm.php . Nếu bạn nhận thấy bất kỳ tệp nào như vậy, hãy xóa ngay lập tức. Hơn nữa, đừng quên xóa bất kỳ người dùng cơ sở dữ liệu không xác định nào. Để xác minh xem có người dùng mới nào được tạo sau một ngày nhất định hay không, hãy sử dụng lệnh SQL sau:

Chọn * từ người dùng làm u AND u.create> UNIX_TIMESTAMP (STR_TO_DATE (‘ngày 15 tháng 5 năm 2019’, ‘% M% d% Y‘));

Tại đây, nó sẽ hiển thị tất cả những người dùng được tạo sau ngày 15 tháng 5 năm 2019. Khi quá trình dọn dẹp hoàn tất, hãy xóa bộ nhớ cache bằng các lệnh:drush cache-tái tạo (Drupal 8) hoặc drush cache-clear all (Drupal 7).

Bài viết liên quan - Hướng dẫn loại bỏ phần mềm độc hại và Thực hành bảo mật Drupal cơ bản

Loại bỏ Phần mềm độc hại PHP

Để sửa chữa trang web bị tấn công bằng PHP, trước tiên hãy xem cơ sở dữ liệu. Trước tiên hãy sao lưu cơ sở dữ liệu. Sử dụng một công cụ như phpMyAdmin để tìm kiếm bất kỳ bảng đáng ngờ nào như ‘ Sqlmap ‘. Hơn nữa, hãy tìm kiếm bên trong nội dung của các bảng để tìm bất kỳ liên kết đáng ngờ nào, mã độc hại, v.v. Nếu tìm thấy, hãy xóa mục nhập đó hoặc xóa toàn bộ bảng nếu cần. Sau đó, hãy kiểm tra xem trang web có còn hoạt động bình thường không. Nếu vậy, bạn đã xóa thành công phần mềm độc hại khỏi cơ sở dữ liệu.

Để phát hiện sự lây nhiễm trong các tệp PHP, hãy sử dụng lệnh sau để tìm mã độc hại được mã hóa base64:

tìm thấy . -name “* .php” -exec grep “base64 ″‘ {} ’; -print &> output.txt

Ngoài mã hóa base64, một số kỹ thuật giải mã khác như FOPO cũng thường được sử dụng. Đã xóa bất kỳ tập lệnh PHP nào không xác định. Nếu bạn không chắc mã hoạt động gì, hãy bình luận và nhận trợ giúp để loại bỏ phần mềm độc hại. Đối với PHP, điều quan trọng là phải vô hiệu hóa các chức năng nguy hiểm, có thể giúp những kẻ tấn công thực thi mã từ xa. Điều này có thể được thực hiện bằng lệnh duy nhất này:

disable_functions =“show_source, system, shell_exec, passthru, executive, popen, proc_open, allow_url_fopen, eval”

Đôi khi thông báo lỗi tiết lộ thông tin nhạy cảm mà kẻ tấn công có thể sử dụng để xâm phạm trang web của bạn. Để tắt các lỗi như vậy, hãy thêm mã sau vào php.ini tệp:

display_errors =Tắt
log_errors =Bật
error_log =/ var / log / httpd / php_error.log

Mã này vô hiệu hóa các lỗi hiển thị và thay vào đó ghi chúng vào php_error.log từ nơi bạn có thể sử dụng chúng để khắc phục sự cố. Cuối cùng nhưng không kém phần quan trọng đảm bảo rằng tất cả dữ liệu đầu vào mà máy chủ của bạn nhận được thông qua các biểu mẫu, giá trị PHP, v.v. đều được lọc. Đầu vào không được vệ sinh có thể tàn phá trang web của bạn. Tiến hành kiểm tra bảo mật toàn bộ trang web PHP của bạn.

Bạn cần trợ giúp sửa chữa trang web bị tấn công? Hãy gửi tin nhắn cho chúng tôi trong hộp trò chuyện

Bài viết liên quan - Hướng dẫn loại bỏ phần mềm độc hại và Thực hành bảo mật PHP cơ bản

Xóa phần mềm độc hại cho WordPress

Đối với việc sửa chữa trang web bị tấn công bằng WordPress, hãy kiểm tra các tệp lõi trước tiên vì việc loại bỏ lây nhiễm các tệp này rất dễ dàng. Hơn nữa, hãy kiểm tra từ nhật ký hệ thống về bất kỳ thay đổi nào được thực hiện đối với tệp. Điều này có thể giúp xác định sự lây nhiễm phần mềm độc hại. Nếu có sự lây nhiễm trong tệp lõi, chỉ cần thay thế nó bằng một tệp mới từ kho lưu trữ chính thức. Điều này cũng áp dụng cho các tệp chủ đề. Tuy nhiên, tránh chỉnh sửa các tệp và thư mục nhạy cảm như wp-content wp-config .

Nếu phần mềm độc hại đã tạo tài khoản người dùng WordPress mới, chúng nên được xóa ngay lập tức. Tìm bất kỳ tài khoản người dùng mới và đáng ngờ nào và tiến hành xóa tài khoản đó. Để xóa người dùng không xác định:

  1. Mở wp-admin trang tổng quan và điều hướng đến Người dùng> Tất cả người dùng .
  2. Từ hộp kiểm, hãy chọn người dùng bạn muốn xóa và mở rộng “ Hành động hàng loạt ”Thả xuống.
  3. Cuối cùng, chọn nút “ Xóa ”Và sau đó là“ Áp dụng ”Cài đặt.
Làm thế nào để sửa chữa một trang web bị tấn công? Hoàn thành Tự làm để sửa trang web bị tấn công

Ngoài ra, hãy đảm bảo rằng trong các tệp hình ảnh là phần mềm độc hại như phần mềm độc hại bak.bak / Favicon thường xuyên nhắm mục tiêu các trang web WordPress. Kiểm tra tải lên wp thư mục và quét mọi hình ảnh theo cách thủ công. Để làm như vậy, hãy sao chép .ico các tệp vào một thư mục và thay đổi phần mở rộng của chúng thành .txt . Bây giờ hãy mở tệp văn bản này. Nếu nội dung có vẻ vô nghĩa như trong hình ảnh thì các tệp sẽ sạch, nếu không nếu tệp văn bản hiển thị mã PHP, hãy làm theo các bước nêu trên để sửa chữa trang web bị tấn công bằng WordPress. Cuối cùng nhưng không kém phần quan trọng, đừng quên tắt XML-RPC trong WordPress.

Làm thế nào để sửa chữa một trang web bị tấn công? Hoàn thành Tự làm để sửa trang web bị tấn công

Sửa chữa trang web bị tấn công:Các biện pháp ngăn ngừa

  • Đổi tên thư mục quản trị thành một số tên người dùng ngẫu nhiên. Ví dụ:nếu trước đó URL tới thư mục quản trị của bạn là www.abc.com/admin/ đổi tên nó thành www.abc.com/random123/ . Điều này có thể được thực hiện theo hướng dẫn sau.
  • Nếu tính năng lập chỉ mục thư mục được bật, tin tặc có thể xem các tệp nhạy cảm và sử dụng nó để tấn công trang web của bạn. Do đó, hãy tắt lập chỉ mục thư mục bằng cách thêm mã sau vào .htaccess tệp trong mỗi thư mục:Tùy chọn-Chỉ mục
  • Bạn đang sử dụng CMS nào không quan trọng, hãy đảm bảo rằng nó được cập nhật. Luôn cập nhật thông tin từ trang web chính thức là một phương pháp lành mạnh có thể ngăn chặn việc tấn công trang web.
  • Quyền đối với tệp thích hợp có thể bảo vệ các tệp quan trọng của bạn khỏi những kẻ tấn công. Luôn đặt quyền đối với tệp là 644 hoặc 444. Đối với các tệp nhạy cảm như config.php, index.php, admin / config.php, admin / index.php, system / startup.php, hãy đặt quyền thành 444.
  • Đảm bảo rằng không có mật khẩu được mã hóa cứng hoặc mật khẩu mặc định trên trang web. Luôn sử dụng các chủ đề, tiện ích mở rộng và plugin có uy tín.
  • Luôn sử dụng gói lưu trữ an toàn thay vì gói rẻ. Kế hoạch này có vẻ rẻ nhưng nó có thể khiến bạn phải trả giá đắt trong quá trình sửa chữa trang web bị tấn công. Đồng thời đảm bảo rằng máy chủ được định cấu hình đúng cách và không có cổng nào đang mở, máy chủ bị cấu hình sai trên máy chủ.
  • Việc sử dụng SSL không chỉ đảm bảo giao tiếp giữa người dùng và trang web của bạn mà còn giúp bạn SEO. Nhận chứng chỉ SSL cho trang web của bạn và triển khai nó trên máy chủ của bạn. Sau đó, hãy đảm bảo rằng trang web luôn chuyển hướng đến https thay vì HTTP. Để thực hiện việc này, hãy thêm mã sau vào .htaccess tệp:

# Chuyển hướng HTTP sang HTTPS
RewriteEngine On
Giảm giá RewriteCond% {HTTPS}
RewriteCond% {HTTP:X-Forwarded-Proto}! Https
Quy tắc viết lại ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R =301]

Sử dụng Giải pháp bảo mật để tránh sửa chữa trang web bị tấn công thủ công

Có thể tránh được rắc rối khi sửa chữa trang web bị tấn công nếu giải pháp bảo mật hoặc tường lửa được sử dụng ngay từ đầu. Ngày nay, có rất nhiều tùy chọn để lựa chọn, không chỉ cung cấp tường lửa mà còn cung cấp một bộ bảo mật hoàn chỉnh. Astra vừa với ngân sách của bạn vì nó có khả năng mở rộng cao. Tường lửa Astra có thể bảo vệ trang web của bạn khỏi bất kỳ hình thức tấn công nào ngay cả khi trang web của bạn dễ bị tấn công. Mặc dù trình quét phần mềm độc hại của nó giúp sửa chữa trang web bị tấn công và có thể phát hiện một số lượng lớn các biến thể phần mềm độc hại.