Chúng ta thường nghĩ đến một trong hai điều khi một trang web bị tấn công. Đầu tiên là xâm phạm vào dữ liệu, một người nào đó đột nhập vào trang web của bạn bằng cách nào đó và đánh cắp thông tin người dùng.

Một vài ví dụ như Vogue.co.uk từng bị chiếm đóng trên trang chủ của họ, một diễn đàn Bitcoin đã bị tấn công để quảng bá đồng tiền giả CosbyCoin và trang web chính của European Union đã bị tấn công để thay thế hình ảnh của thủ tướng Anh bằng một hình ảnh của Mr. Bean. Ví dụ nghiêm trọng hơn như việc nhóm khủng bố ISIS chiếm đoạt các trang web.

Khi một trang web bị tấn công và dữ liệu người dùng bị đánh cắp, nó không để lại dấu vết trên trang web của bạn. Để khám phá nó, bạn cần kiểm tra tập tin log và tìm những truy cập trái phép. Các hacker phá hoại back-end của bạn theo một cách nào đó. Các ví dụ như việc tiếp quản trang web sẽ hiển thị ngay lập tức. Người dùng của bạn sẽ nhận ra và báo cáo cho bạn và Google sẽ thông báo khi họ crawl nó. Bạn sẽ kết thúc với cảnh báo tìm kiếm lớn “Trang web này có thể đã bị tấn công” hoặc “Trang web này có thể sẽ gây hại cho máy tính của bạn” khi người dùng cố gắng truy cập trang của bạn.

Tấn công vô hình

Có một loại tấn công thứ 3 và xảo quyệt hơn trên trang web của bạn là khi hacker chiếm quyền kiểm soát trang của bạn và cài đặt mã độc hại nhưng cố gắng làm cho nó không rõ ràng.

Trong một số trường hợp trang web trông có vẻ bình thường nhưng một số script được thêm vào để ép người dùng tải xuống tập tin độc hại. Nó có thể là một script trên trang. Nó có thể yêu cầu người dùng tải xuống phông chữ hay image.exe hay một thứ gì khác. Những đoạn mã độc hại này khi được tải xuống và thực hiện khiến máy tính của bạn bị nhiễm.

Tôi đã từng nhìn thấy một số phiên bản còn nguy hiểm hơn nữa khi hacker không nhắm mục tiêu đến đối tượng của bạn. Thay vào đó, họ phá hoại thương hiệu của bạn bằng cách sử dụng các trang ẩn trên trang web của bạn như các trang đích để spam email. Họ không đụng chạm đến bất kỳ trang nào khác trong số các trang hiện tại của bạn, họ chỉ tạo một loạt các thư mục và thư mục con, đôi khi chúng bị chôn vùi trong các thư mục hệ thống của bạn. Sau đó, họ tham chiếu các URL đó trong các chiến dịch spam email.

Điều này rất nguy hiểm vì 2 lý do: Thứ nhất, rất khó để nhận thấy trừ khi bạn thay đổi log cho trang web của mình và có thể nhìn thấy khi các trang độc hại được thêm vào. Thứ 2, không một người dùng nào sẽ nhìn thấy các trang này. Chúng không được liên kết hoặc index hay thậm chí họ chỉ thị robot để đẩy chúng ra khỏi chỉ mục của Google. Tuy nhiên, chúng hiển thị trong email spam, domain của bạn bị đưa vào blacklist bởi các nhà cung email như Gmail và domain của bạn bị coi là domain spam.

Về bản chất, bạn có thể thấy sự sụt giảm đột ngột cả về tỷ lệ mở email và lưu lượng truy cập tìm kiếm tự nhiên cùng với blacklist tiềm ẩn từ quảng cáo PPC và không có dấu hiệu nào cho thấy tại sao điều đó lại xảy ra.

Như bạn đã biết, một hacker có rất nhiều cách tấn công khác nhau để làm hỏng trang web của bạn bằng mã độc chẳng hạn như phá hoại nội dung cũ của bạn, xóa cơ sở dữ liệu hoặc đánh bom trang của bạn để phá hủy thứ hạng của bạn.

Scan trang web

Nếu bạn lo lắng liệu trang web của bạn có bị xâm hại hay không, bạn có thể thực hiện một vài cách khác nhau.

Việc đầu tiên bạn nên làm là kiểm tra tập tin log máy chủ của bạn. Nhìn chung, máy chủ web của bạn phải có log để kiểm tra. Log sẽ cho bạn biết khi một địa chỉ IP lạ đang truy cập vào trang web của bạn. Một số hacker có thể sẽ xóa, vô hiệu hóa hoặc chỉnh sửa tập tin log nhưng nhiều người không quan tâm nếu họ bị phát hiện, miễn là code của họ được thực hiện vài lần. Tuy nhiên, việc truy cập log sẽ thay đổi dựa vào máy chủ của bạn.

Tốt hơn hết là bạn nên có change log (nhật ký thay đổi). Change log sẽ hiển thị chi tiết mọi thứ thay đổi trên trang web của bạn. Nó không hiển thị khi bạn thay đổi nội dung của bài viết nhưng nó có thể hiển thị khi tập tin được ghi đè hoặc chỉnh sửa hoặc khi thêm tập tin mới và thư mục mới. Change log có thể hiển thị cho bạn khi có hoạt động bất thường xảy ra và có thể xác định cụ thể trang nào bị ảnh hưởng.

Tất nhiên, không phải lúc nào bạn cũng bật tính năng này. Nếu không bạn có thể truy cập log do máy chủ web của bạn được thiết lập hoặc có thể bạn phải chọn một cách tiếp cận khác.

Bạn cũng có thể quan tâm đến các phần cụ thể của hệ thống để scan thủ công. Dưới đây là một số mẹo:

– Kiểm tra thận trọng các tập tin của bạn. Hãy xem tập tin .htaccess và xem liệu nó có ẩn chứa bất kỳ tập tin nào mà bạn không mong đợi hay không hoặc liệu nó có chứa bất kỳ chỉ thị nào mà bạn không mong muốn hay không. Nếu bạn không biết tập tin .htaccess tốt như thế nào, Google có một số ví dụ hoặc so sánh nó với phiên bản đã biết của trang web từ cài đặt mới hoặc ngay sau khi được triển khai đầy đủ. Bạn cũng có thể xem các tập tin media đặc biệt là tập tin .JS cũng như các tập tin .PHP để có thể thực hiện cuộc gọi đến các tập tin khác mà chúng không nên thực hiện. Tuy nhiên, những phân tích này khó hơn trừ khi bạn biết những gì bạn đang xem.

– Chạy trang web của bạn thông qua Google SafeBrowsing scanner. Ví dụ, đây là trang web http://www.google.com/safebrowsing/diagnostic?site=waytomarketing.com. Nó là miễn phí mặc dù không cung cấp nhiều chi tiết nhưng nó sẽ cho bạn biết liệu trang web của bạn có ổn không hoặc Google đang phát hiện ra điều gì đó kỳ lạ về nó.

– Sử dụng CMS scanner. Một số nền tảng CMS cụ thể như WordPress và Joomla. Bạn có thể tìm thấy các công cụ cho CMS của bạn như WordPress Theme Authenticity Checker hay Jamss.php plugin với Joomla để tìm kiếm các trang cụ thể bị xâm phạm.

Tôi khuyên bạn nên kiểm tra nhiều lần nếu bạn muốn scan trang web của mình. Tốt hơn hết là nên có một người kiểm tra để bạn có thể yên tâm. Vì hầu hết các kiểm tra tự động chỉ mất một hoặc hai giây thật dễ dàng để sử dụng nhiều lần chỉ để đảm bảo rằng trang web của bạn được an toàn.

Scan tự động

Một trang như IsItHacked có thể quét trang web của bạn để tìm kiếm các sự cố thường gặp liên quan đến trang web bị tấn công.

Cụ thể, chúng tìm kiếm:

– Các URL bị che giấu. Hacker đặt các trang trên trang web của bạn thường giấu URL bằng cách ẩn nó từ Google, do vậy Google sẽ không nhìn thấy nó. Google vẫn có thể xem nhưng không thêm nó vào chỉ mục của họ, họ có thể thêm vào danh sách các trang web bị xâm phạm của họ.

– HTTP Status Codes. Việc kiểm tra các mã này có thể hiển thị nếu có các chuyển hướng độc hại hoặc các trang bị xâm phạm.

– Spam Links. Công cụ này sẽ quét các trang của bạn để tìm kiếm các liên kết spam mà hacker có thể nhúng vào. Một số hacker sẽ thêm các liên kết vào domainPBN của họ và hy vọng rằng chúng không gây sự chú ý, các liên kết như vậy có thể gắn cờ cho trang web của bạn, nó được coi như là một phần của PBN.

– Usage of iFrames. Hệ thống iFrames được sử dụng như một cách vô hình để phân bổ quảng cáo hiển thị hình ảnh hoặc mã độc hại mà không đưa code vào trang của bạn. Các iFrames như vậy thường gây bất lợi cho tất cả các trang web, do đó không sử dụng chúng và đảm bảo rằng không có bất kỳ nhúng nào mà bạn không biết trên trang của bạn.

– Blacklists. IsItHacked duy trì một danh sách các blacklist từ các trang web bao gồm Google Safe Browse blacklist. Họ sẽ kiểm tra URL của bạn dựa vào blacklist này để xem có xuất hiện hay không, điều này sẽ cho bạn biết liệu bạn có bị xâm phạm hay không.

Ngoài ra còn có nhiều trang web scanner khác. Sucuri cũng có một dịch vụ như Siteguarding. Chạy URL của bạn thông qua một hoặc nhiều dịch vụ này để xem có bất kỳ dịch vụ nào xuất hiện với kết quả đáng lo ngại không.

Làm sạch trang web bị xâm phạm

Tôi đã liên kết với bài viết chính của chúng tôi về cách phục hồi một cuộc tấn công trang web nhưng tôi sẽ đưa ra một số mẹo ở đây:

Việc đầu tiên bạn nên làm là xác định mức độ tấn công. Nếu tài khoản admin của bạn bị xâm nhập, tài khoản này có thể truy cập nhiều trang. Nếu đó là một cuộc tấn công vào CMS của bạn, có thể họ không có quyền truy cập vào dữ liệu back-end của bạn. Cũng có thể tấn công thông qua quảng cáo của bạn chứ không phải là chính trang web của bạn và do đó việc khôi phục đơn giản là báo cáo và loại bỏ quảng cáo độc hại.

Nếu tài khoản của bạn bị xâm phạm, hãy xem xét các tài khoản tiềm năng khác có thể đã bị xâm phạm. Quá nhiều người chia sẻ mật khẩu và tên tài khoản và nếu hacker thỏa hiệp với một trong số họ thì có thể bạn đang nguy hiểm. Hãy kiểm tra tài khoản email của bạn cũng như các tài khoản quan trọng khác.

Một điều quan trọng cần kiểm tra là thông tin khôi phục. Cá nhân tôi đã có một tài khoản Microsoft bị tấn công, hacker đã thêm thông tin của chính họ vào danh sách khôi phục, nếu tôi cố gắng thay đổi mật khẩu của mình, họ cũng sẽ nhận được email đặt lại mật khẩu và có thể thay đổi lại. Nếu tôi không nhận thấy điều này thì có thể họ đã khóa tài khoản của tôi. Hãy luôn tìm kiếm các liên hệ bị thay đổi hoặc bất thường và xóa bỏ thông tin đó trước khi bạn thay đổi thông tin tài khoản của mình.

Nếu có bất kỳ dịch vụ bên thứ 3 nào, có thể là máy chủ web, email hoặc ngân hàng của bạn bị xâm nhập, hãy tìm kiếm kỳ thông tin bị lấy cắp dữ liệu từ dịch vụ đó. Một số dịch vụ như PayPal.com có các quy trình cụ thể mà bạn có thể thực hiện để đảm bảo bạn khôi phục và bảo mật tài khoản của mình.

Với chính trang web của bạn, hãy xác định xem trang web của bạn đã bị xâm phạm bao nhiêu, theo cách nào và trong bao lâu. Lý tưởng nhất nó không phải là một cuộc tấn công phổ biến và nó không bị tấn công lâu. Tìm kiếm bất kỳ bản backup của trang web bạn đã thực hiện và kiểm tra chúng xem có bị xâm phạm hay không. Lý tưởng nhất, bạn có thể khôi phục trang web của mình từ bản backup trước đó, khôi phục mọi nội dung bị mất và bảo mật lại trang web của bạn. Nếu bạn không có bản backup, bây giờ là lúc để bắt đầu chúng. Vâng “bây giờ” sau khi trang web của bạn được làm sạch.

Xóa mọi tập tin bị xâm phạm và thay thế chúng bằng các tập tin sạch. Cập nhật tất cả các plugin, theme và nền tảng CMS nếu cần. Nếu có bất kỳ plugin cũ nào trên 6 tháng hoặc lâu hơn mà không được cập nhật, hãy xem xét việc thay thế chúng bằng plugin khác.

Cuối cùng, hãy cân nhắc việc triển khai nhiều lớp bảo mật nhất có thể. Two-factor authentication (xác thực 2 yếu tố) là một ý tưởng hay để ngăn chặn việc truy cập trái phép vào tài khoản của bạn. Bạn cũng nên cài đặt một plugin hoặc dịch vụ giám sát như Sucuri.net để giúp theo dõi và ngăn chặn các nỗ lực tấn công trang của bạn trong tương lai.

Hãy đảm bảo rằng bạn tuân thủ luật pháp liên quan đến việc thỏa hiệp thông tin người dùng. Ví dụ: ở Mỹ, nếu vi phạm dữ liệu như nhận dạng thông tin cá nhân, bạn phải thông báo cho người dùng của mình trong một khoảng thời gian nhất định theo luật pháp của bang hoặc khu vực. Việc không tiết lộ vi phạm có thể khiến bạn phải chịu trách nhiệm cho những thiệt hại nghiêm trọng.