Trong bài viết trước tôi đã hướng dẫn các bạn cách để nhận biết website của bạn đang bị tấn công. Vậy sau khi phát hiện website bị tấn công bạn cần làm gì? Trong bài viết này tôi viết tổng quan những công việc mà các bạn cần làm sau khi phát hiện website của mình bị hack và cách cơ bản để thực hiện.
Bạn cần làm theo các công việc sau
- Khôi phục lại hoạt động của website, xóa bỏ các trang giả mạo, trang index mà hacker đã thay đổi hoặc tải lên website để website trở lại hoạt động bình thường.
- Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống.
- Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công
- Vá các lỗ hổng mà hacker đã khai thác.
Khôi phục lại hoạt động của website bị tấn công
Trước tiên bạn cần sao lưu lại toàn bộ trạng thái của thư mục web để phục vụ cho việc kiểm tra sau này. Thay đổi các tài khoản của hệ thống, các tài khoản có thể cho phép tin tặc tiếp tục truy cập vào hệ thống của bạn: Tài khoản SSH, tài khoản Remote desktop, tài khoản quản trị của website, tài khoản kết nối CSDL, phpmyadmin…
Trong trường hợp bạn có bản sao lưu của mã nguồn hoàn chỉnh, có thể tải bản mới lên bản mã nguồn mới cho website của bạn, trong trường hợp không có bạn cần thực hiện xóa bỏ các dấu hiệu mà hacker đã để lại, tìm và xóa các trang web lừa đảo mà hacker đã để lại. Có thể sử dụng công cụ Website malware scanner của Sucuri để phát hiện các mã độc mà hacker đã chèn vào wesite của, tại đây. (https://sitecheck.sucuri.net/)
Tìm và loại bỏ các mã độc, backup, webshell đang tồn tại trên hệ thống
Hacker thường để lại mã độc trên website của bạn theo 3 hình thức sau
- Chèn code mã độc vào các tệp tin trên website của bạn.
- Tải các tệp tin webshell, backdoor lên website để có thể kiểm soát website của bạn thông qua backdoor này.
- Cài đặt chương trình độc hại chạy ngầm, mở cổng để hacker truy cập vào trong lần sau.
Để phát hiện các webshell, backdoor bạn cần tìm và quét toàn bộ thư mục web của mình để phát hiện. Bạn có thể sử dụng một số công cụ tìm kiếm: FileSeek, Everything, Webshell Detector… bạn có thể theo dõi thêm bài viết: Kinh nghiệm tìm kiếm WebShell trong mã nguồn để được hướng dẫn chi tiết về cách thực hiện công việc này.
Để phát hiện các mã độc hại được nhúng và mã nguồn website, bận cần tìm và kiểm tra tất cả các tệp tin có ngày thay đổi (date modified) xung quanh thời điểm tấn công. Rất có thể hacker đã chèn các mã độc vào các tệp tin “sạch” của bạn.
Ngoài ra bạn có thể đọc trong Log access để biết các backdoor mà hacker đã truy cập vào trước thời gian mà website của bạn bị tấn công.
Với các tiến trình mã độc trên website, bạn cần thực hiện một cuộc điều tra về các tiến trình đang hoạt động, các tiến trình cho phép khởi động cùng hệ điều hành, các tiến trình được cài đặt để chạy theo lịch trong Crontab. Từ đó phát hiện ra các tiến trình độc hại trên máy chủ của bạn.
Trước tiên bạn cần biết ai là người đã tấn công bạn. hacker đã tấn công bạn như thế nào, hacker đã làm gì trên website của bạn, hacker còn cài đặt, ẩn giấu mã độc gì trên website của bạn?
Tìm nguyên nhân mà website của bạn bị tấn công, ai là người đã tấn công website của bạn?
Để biết được ai là người đã tấn công và nguy nhân của cuộc tấn công, nếu website không có các hệ thống giám sát an ninh mạng để thu thập dữ liệu log trên máy chủ thì cách duy nhất là cần tận dụng các dữ liệu log trên website.
Bạn có thể tìm kiếm các truy cập vào tệp tin mã độc để xác định đối tượng tấn công, đọc log access trong thời gian tệp tin mã độc được tạo hoặc các tệp tin khác bị thay đổi hoặc tạo mới để tìm được cách mà hacker đã thực hiện để tấn công bạn, lọc toàn bộ các yêu cầu được gửi trong log từ địa chỉ IP của đối tượng tấn công.
Bạn cũng có thể đọc thêm các dữ liệu log audit, log secure, history… để biết được hacker đã làm gì với website của bạn.
Vá các lỗ hổng mà hacker đã khai thác
Sau khi đã biết được cách mà hacker đã khai thác, tấn công website bạn cần vá lại các lỗ hổng mà hacker đã khai thác, cập nhật các bản vá mới cho phần mềm, cấu hình phần quyền cho website. Tôi sẽ trình bày chi tiết hơn vấn đề này trong bài viết sau, mời các đón bạn đón đọc.
Nhận xét
Đăng nhận xét