Làm gì khi website bị tấn công chèn mã độc

Trong bài viết trước tôi đã hướng dẫn các bạn cách nhận biết website đang bị tấn công. Vậy sau khi phát hiện website bị tấn công bạn cần làm gì? Trong bài viết này, tôi sẽ tiếp tục đưa ra một Roadmap tổng thể những công việc mà các bạn cần làm sau khi phát hiện website bị tấn công.

Làm gì khi website bị tấn công?

  • Khôi phục hoạt động của website, xóa bỏ các trang giả mạo, trang index mà hacker đã tải lên website.
  • Tìm và loại bỏ các mã độc, webshell đang tồn tại trên máy chủ web.
  • Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công.
  • Vá các lỗ hổng mà hacker đã khai thác.

Bước 1: Khôi phục website bị tấn công

Trước tiên bạn cần sao lưu lại toàn bộ thư mục web để phục vụ cho công việc sau này. Thay đổi các tài khoản của hệ thống, tài khoản trang quản trị. Các tài khoản có thể cho phép tin tặc tiếp tục truy cập vào hệ thống của bạn: Tài khoản SSH, tài khoản Remote desktop, tài khoản quản trị của website, tài khoản kết nối CSDL, phpmyadmin…

Trong trường hợp bạn có bản sao lưu của mã nguồn hoàn chỉnh, có thể tải bản mới lên bản mã nguồn mới cho website của bạn. Trong trường hợp ngược lại, bạn cần làm sạch, xóa bỏ các mã độc mà hacker đã để lại. Cũng như tìm và xóa các trang web lừa đảo mà hacker đã tạo ra.

Bước 2: Tìm và loại bỏ các mã độc

Hacker thường để lại mã độc trên website bị tấn công theo 3 hình thức sau:

  • Chèn code mã độc vào các tệp tin trên website của bạn.
  • Tải các tệp tin webshell, backdoor lên website để có thể kiểm soát website của bạn.
  • Cài đặt chương trình độc hại chạy ngầm, mở cổng để hacker truy cập vào lần sau.

Để phát hiện các webshell, backdoor bạn cần tìm và quét toàn bộ thư mục web của mình để phát hiện. Bạn có thể sử dụng một số công cụ tìm kiếm: FileSeek, Everything, Webshell Detector, CyStack Responding App… Bạn có thể theo dõi thêm bài viết: Kinh nghiệm tìm kiếm WebShell trong mã nguồn để được hướng dẫn chi tiết về cách thực hiện công việc này.

Để phát hiện các mã độc hại được nhúng và mã nguồn website. Bạn cần tìm và kiểm tra tất cả các tệp tin có ngày thay đổi (date modified). Đặc biệt là các tệp tin có thời gian thay đổi xung quanh thời điểm tấn công. Rất có thể hacker đã chèn các mã độc vào các tệp tin “sạch” của bạn.

Ngoài ra bạn có thể đọc trong Log access để biết các backdoor mà hacker đã truy cập vào trước thời gian mà website của bạn bị tấn công.

Với các tiến trình mã độc trên website, bạn cần thực hiện một cuộc điều tra về các tiến trình đang hoạt động, các tiến trình cho phép khởi động cùng hệ điều hành, các tiến trình được cài đặt để chạy theo lịch trong Crontab. Từ đó phát hiện ra các tiến trình độc hại trên máy chủ của bạn.

Trước tiên bạn cần biết ai là người đã tấn công bạn. hacker đã tấn công bạn như thế nào, hacker đã làm gì trên website của bạn, hacker còn cài đặt, ẩn giấu mã độc gì trên website của bạn?

Bước 3: Nguyên nhân website bị tấn công, ai là người tấn công website?

Để biết được ai là người đã tấn công website của bạn và nguyên nhân của cuộc tấn công, nếu website không có các hệ thống giám sát an ninh mạng để thu thập dữ liệu log trên máy chủ thì cách duy nhất là cần tận dụng các dữ liệu log trên website.

Bạn có thể tìm kiếm các truy cập vào tệp tin mã độc để xác định đối tượng tấn công website, đọc log access trong thời gian tệp tin mã độc được tạo hoặc các tệp tin khác bị thay đổi hoặc tạo mới để tìm được cách mà hacker đã thực hiện để tấn công bạn, lọc toàn bộ các yêu cầu được gửi trong log từ địa chỉ IP của đối tượng tấn công.

Bạn cũng có thể đọc thêm các dữ liệu log audit, log secure, history… để biết được hacker đã làm gì với website của bạn.

Bước 4: Vá các lỗ hổng website

Sau khi đã biết được cách mà hacker đã tấn công website bạn cần vá lại các lỗ hổng đó. Rà soát các bản cập nhật để cập nhật các bản vá mới nhất cho phần mềm, hệ điều hành. Khắc phục các lỗ hổng trong mã nguồn website cũng như tăng cường cấu hình phân quyền cho các máy chủ web của bạn.

Tổng hợp

Các lỗ hổng bảo mật, đặc biệt của các website sẽ xuất hiện và được công bố liên tục. Là một quản trị website với nhiệm vụ đảm bảo an toàn cho một website, việc bạn gặp phải những hình thức tấn công mới, lỗ hổng mới, mã độc mới là điều thường xuyên. Do đó bạn cần trang bị cho mình những kiến thức và công cụ phù hợp.

Cả 04 bước này bạn đều có thể thực hiện bằng cách sử dụng 1 dịch vụ duy nhất, CyStack Platform – Một nền tảng bảo mật cho website (Website Security Platform). Đây là một sản phẩm thuần Việt, do người Việt Nam cung cấp và đang được triển khai rộng rãi trên toàn thế giới với hàng ngàn người sử dụng. Đăng ký và sử dụng miễn phí 14 ngày: https://app.cystack.net/

Bài viết cùng chủ đề << [Cảnh báo] Lỗ hổng GKPlugin ảnh hưởng nhiều trang web xem phim trực tuyến tại Việt Nam[Hướng dẫn] 10 biện pháp chống hack website >>
Tran Quang Chien
Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.