MỤC LỤC
Chèn mã độc có nghĩa là gì?
Điều này có nghĩa là hacker đã xâm nhập vào trang web của bạn và chuyển hướng người dùng từ trang web của bạn sang trang web nguy hiểm của họ. Đôi khi chỉ những người dùng nhất định mới bị chuyển hướng dựa trên vị trí hoặc thiết bị truy cập của họ (ví dụ như điện thoại di động). Hacker có thể đã chèn mã độc vào file HTML (ví dụ như chuyển hướng JavaScript) hoặc vào các file chứa nội dung chính trong trang web của bạn (ví dụ file PHP). Một cách khác mà hacker có thể chuyển hướng khách truy cập trang web của bạn đó là sửa đổi file cấu hình máy chủ. Các file cấu hình máy chủ thường cho phép webmaster chỉ định chuyển hướng cho các URL hoặc các thư mục cụ thể trong trang web.
Làm cách nào để xem chuyển hướng của một trang trên trang web của mình?
Trước tiên, tránh việc sử dụng trình duyệt để xem các trang bị tấn công trên web của bạn vì điều này có thể gây nguy hiểm cho máy tính của bạn. Thông thường, hacker sẽ cấu hình trang chuyển hướng dựa trên đặc điểm người dùng như:
+ Vị trí: thường được tìm ra qua địa chỉ IP của họ.
+ Trang giới thiệu: chẳng hạn như trang kết quả tìm kiếm.
+ Tác nhân người dùng: một thiết bị di động hoặc một trình duyệt ít bảo mật.
Để xem một trang bị tấn công bạn có thể sử dụng các công cụ sau:
Sử dụng cURL hoặc Wget để tìm nạp trang:
Các công cụ miễn phí có sẵn này cho phép bạn xem nguồn trang khi được tìm thấy bởi công cụ tìm kiếm. Bằng cách chỉ chuyển hướng những người dùng nhất định, hacker có thể nhắm nhiều mục tiêu hơn và tránh được việc bị phát hiện bởi webmaster và các công cụ chống hacker được sử dụng trong các công cụ tìm kiếm, (trang web của bạn phải ở chế độ online để sử dụng công cụ này). Ví dụ:
$curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Tìm nạp một trang với một file cấu hình máy chủ có thể trả lại header sau:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<spam-site>/index.html
< Content-Length: 253
…
Làm thế nào để loại bỏ các mã độc khỏi trang web của mình?
Khi bạn bắt đầu loại bỏ mã độc khỏi trang web của mình, bạn có thể thay thế các file nhiễm mã độc bằng bản backup dữ liệu tốt nhất hoặc xóa các mã độc từ các trang bị nhiễm. Nếu bạn sửa đổi các file cấu hình máy chủ, bạn sẽ cần khởi động lại máy chủ để những thay đổi này có hiệu lực.
Lưu ý rằng việc loại bỏ các mã độc được chèn vào trang web của bạn sẽ chỉ khôi phục lại trang web chứ không thể giải quyết các lỗ hổng tiềm ẩn. Nếu không tìm hiểu nguyên nhân gốc rễ, trang web của bạn có thể bị tấn công lại trong tương lai.