Đã có sự gia tăng ổn định về tội phạm mạng trong những năm qua. Nhưng trong năm năm gần đây, đã có một sự bùng nổ đột ngột. Điều này có thể là do sự lan rộng của kết nối internet ở các thị trường lớn như Ấn Độ, Brazil, v.v. Theo một số thống kê, 86% trang web chứa ít nhất một lỗ hổng nghiêm trọng dẫn đến việc trang web của họ bị tấn công.
Một chỉ số đáng báo động khác là các công ty phải mất hơn 6 tháng để phát hiện ra một vụ hack! Hậu quả của một trang web bị tấn công có thể bao gồm từ việc làm xấu mặt đơn giản đến việc những kẻ tấn công yêu cầu một khoản tiền chuộc. Theo cuốn sách “ Bảo mật web, quyền riêng tư và thương mại ”,
Bài viết này giải thích các bước cơ bản cần thực hiện ngay khi trang web của bạn bị tấn công và cách chuẩn bị cho các cuộc tấn công như vậy trong tương lai.
1. Phục hồi nhanh
Khi các dấu hiệu đầu tiên của một trang web bị tấn công bắt đầu xuất hiện, trước tiên hãy phỏng đoán theo kinh nghiệm về những gì có thể đã gây ra nó. Nó có phải là một liên kết bạn đã nhấp vào ngày hôm qua? Nó có phải là một plugin gần đây bạn đã thêm vào không? Mặc dù sẽ mất thời gian để biết lý do thực sự của vụ hack. Nhưng bằng cách có một ý tưởng sơ bộ, bạn có thể thực hiện các bước quan trọng nhất định hữu ích trong ngắn hạn. Ý tưởng này cũng có thể có được từ các thông báo cảnh báo do Google hoặc các nhà cung cấp dịch vụ lưu trữ của bạn hiển thị trên trang web bị tấn công của bạn.
Vì vậy, để bảo vệ khỏi thiệt hại, trước tiên hãy đăng nhập vào trang tổng quan quản trị trang web của bạn. Nếu bạn không thể làm như vậy, điều đó có nghĩa là kẻ tấn công đã đặt lại thông tin đăng nhập của bạn. Trong trường hợp đó, có nhiều cách để lấy lại mật khẩu của bạn. Nếu bạn đang sử dụng CMS cho trang web của mình, tính năng đặt lại mật khẩu có thể hữu ích. Nếu không, bạn cũng có thể lấy mật khẩu cho trang web của mình bị tấn công qua FTP hoặc bằng cách chạy một số lệnh SQL. Trong trường hợp bạn đang sử dụng nhà cung cấp dịch vụ lưu trữ, hãy liên hệ với dịch vụ khách hàng để lấy lại quyền kiểm soát trang web của bạn bị tấn công.
Bây giờ bạn đã lấy được mật khẩu vào bảng điều khiển quản trị, hãy đăng nhập và thay đổi tất cả các mật khẩu (bảng điều khiển, cơ sở dữ liệu, FTP, v.v.) cho mọi người dùng. Lần này, hãy đảm bảo rằng mọi mật khẩu dài hơn 12 ký tự với sự kết hợp tốt giữa bảng chữ cái viết hoa và viết thường, số và ký hiệu ( $, -, #, vv).
2. Kiểm soát thiệt hại
Bây giờ hãy hành động theo phỏng đoán của bạn và trong lúc này, hãy tắt plugin hoặc xóa tệp đáng ngờ hoặc mục nhập người dùng đáng ngờ, v.v. Cuối cùng, hãy đặt trang web bị tấn công ở chế độ bảo trì cho người dùng. Nếu bạn nghi ngờ rằng phần mềm độc hại hoặc các trang lừa đảo đã được nhúng vào trang web (cũng hiển thị trong thông báo cảnh báo của Google), hãy đặt trang web hoàn toàn ngoại tuyến để bảo vệ khách hàng của bạn.
Ngoài ra, hãy thông báo vấn đề với khách hàng của bạn thông qua các nền tảng truyền thông xã hội vì việc ẩn một trang web bị tấn công có thể khiến vấn đề trở nên tồi tệ hơn. Sau đó, trong quá trình điều tra thêm, nếu phát hiện thấy bất kỳ vi phạm dữ liệu khách hàng nào, hãy đảm bảo thông báo cho khách hàng của bạn để đặt lại mật khẩu của họ. Hơn nữa, tạo một kênh riêng để giải quyết các vấn đề của khách hàng.
3. Tìm bản hack
Bây giờ chúng tôi đã bảo mật trang web trong thời gian ngắn, đã đến lúc điều tra nguyên nhân trang web bị tấn công. Một số khả năng để điều tra là:
- Trang web bị tấn công là do một cuộc tấn công kỹ thuật xã hội, tức là lừa đảo, v.v. Trong trường hợp đó, hãy hỏi xem quản trị viên web có nhận được bất kỳ email không mong muốn nào không.
- Đã xảy ra một số lỗi cấu hình thay mặt cho quản trị viên web. tức là để lại tệp mật khẩu văn bản rõ trên máy chủ, quyền truy cập tệp không phù hợp, mật khẩu yếu, v.v.
- Kiểm tra xem phần mềm độc hại đang ẩn trong tệp của bạn hoặc bất kỳ tệp đáng ngờ nào mới xuất hiện trên trang web của bạn gần đây. Tuy nhiên, hãy cẩn thận trước khi xóa chúng vì một số có thể do hệ thống tạo ra.
- Kiểm tra mọi sửa đổi tệp gần đây.
- Lỗ hổng bảo mật có thể có trong CMS bạn đang sử dụng. Cơ hội tìm thấy lỗi trong lõi ít hơn. Vì vậy, rất có thể đó là chủ đề hoặc plugin mới mà bạn đã sử dụng. Thử tìm kiếm bất kỳ lỗ hổng bảo mật nào trên web. Hoặc bạn có thể sử dụng các công cụ tự động để tìm bất kỳ lỗi nào đã biết trong các chủ đề và plugin WordPress mà bạn đang sử dụng. Nếu bạn sử dụng các chủ đề vô hiệu để cắt giảm chi tiêu thì rất có thể đó là nguyên nhân dẫn đến việc trang web của bạn bị tấn công.
Các khả năng là nhiều hơn nữa. Để thu hẹp nguyên nhân chính xác, bạn cũng có thể sử dụng Google Search Console hoặc một số máy quét tự động miễn phí như máy do Astra cung cấp.
4. Khắc phục trang web bị tấn công
Trước khi dọn dẹp, hãy đảm bảo rằng bạn đã sao lưu trang web bị tấn công. Bây giờ để dọn dẹp trang web:
- Thay thế các tệp bị nhiễm bằng các tệp gốc từ trang web chính thức của CMS của bạn. Đảm bảo rằng trang web của bạn không bị hỏng khi làm như vậy.
- Xóa chủ đề và plugin không có giá trị mà bạn đang sử dụng.
- Dọn dẹp cơ sở dữ liệu bằng cách tìm kiếm các từ spam trong bảng bằng công cụ như PHPMyAdmin.
- Xóa mọi người dùng đáng ngờ mà bạn không tạo.
- Xóa mã độc hại trong các tệp bằng cách mở chúng trong trình soạn thảo văn bản. Nếu bạn không chắc nó đang làm gì, hãy bình luận và nhận trợ giúp từ các chuyên gia bảo mật!
Bất chấp tất cả các nỗ lực dọn dẹp, đôi khi phần mềm độc hại có thể ẩn và sự lây nhiễm có thể bùng phát trở lại. Phần mềm độc hại thường sử dụng các chức năng như base64 () , str_rot13 () , vv vì vậy việc vô hiệu hóa chúng có thể hữu ích. Nhưng đôi khi một số plugin sử dụng các chức năng giống nhau nên hãy đảm bảo rằng trang web bị tấn công vẫn hoạt động sau khi vô hiệu hóa các chức năng này. Vì vậy, việc loại bỏ phần mềm độc hại không phải là công việc của một người dùng bình thường, nếu sự lây nhiễm tái diễn, hãy đảm bảo liên hệ với các chuyên gia để loại bỏ phần mềm độc hại.
5. Chuẩn bị cho Tương lai
Cuối cùng, sau khi dọn dẹp xong, hãy đảm bảo xóa trang web của bạn khỏi danh sách đen của các công cụ tìm kiếm khác nhau. Ngoài ra, thực hiện một số bước để tăng cường bảo mật cho trang web bị tấn công của bạn có thể ngăn chặn các cuộc tấn công trong tương lai như:
- Luôn cập nhật trang web, máy chủ, plugin, v.v.
- Đảm bảo rằng các quyền thích hợp được đặt cho tất cả các tệp và thư mục.
- Luôn giữ một bản sao lưu trang web của bạn ở một vị trí khác với máy chủ của bạn.
- Giảm các tài khoản quản trị viên đến mức tối thiểu có thể và đảm bảo rằng tất cả các tài khoản đó đều sử dụng mật khẩu ngẫu nhiên an toàn.
- Tiến hành kiểm tra bảo mật toàn bộ trang web và vá các lỗ hổng bảo mật như cổng mở, cấu hình sai máy chủ, v.v. được phát hiện.
- Sử dụng tường lửa hoặc giải pháp bảo mật nào đó để ngăn trang web bị tấn công trong tương lai.
Kết luận
Làm sạch một trang web bị tấn công là một quá trình phức tạp và tẻ nhạt. Do đó, cần có sự kết hợp phù hợp giữa tự động hóa và chuyên môn thủ công. Bài viết này chỉ đề cập đến các kỹ thuật cơ bản của việc dọn dẹp và còn rất nhiều điều khác nữa. Hơn nữa, nếu bạn là người mới, bạn không nên tự mình thực hiện quá trình dọn dẹp phần mềm độc hại. Thay đổi sai nhỏ nhất chẳng hạn như không gian có thể phá vỡ trang web của bạn hoàn toàn. Vì vậy, hãy thuê một công ty bảo vệ để thực hiện công việc trong khi bạn nhâm nhi tách cà phê và thư giãn. Các chuyên gia tại Astra đã khắc phục các trang web bị tấn công trong thời gian quay vòng kỷ lục dưới bốn giờ. Với các gói có giá cả phải chăng ngay cả đối với các trang web nhỏ và cam kết trong một năm để chăm sóc bảo mật cho trang web của bạn, các vấn đề về bảo mật sẽ sớm trở thành dĩ vãng đối với bạn.