ประเภทการติดมัลแวร์: การกำหนดค่าเซิร์ฟเวอร์

การมี URL ซึ่งมีประเภทการติดมัลแวร์ "การกำหนดค่าเซิร์ฟเวอร์" ใน Search Console หมายความว่าอย่างไร

ข้อความนี้หมายความว่าแฮกเกอร์ได้แฮ็กเว็บไซต์ของคุณและเปลี่ยนเส้นทางผู้เข้าชมจากเว็บไซต์ที่ดีของคุณไปยังเว็บไซต์โจมตีมัลแวร์ ด้วยการแก้ไขไฟล์กากกำหนดค่าของเซิร์ฟเวอร์ โดยไฟล์นี้จะอนุญาตให้ผู้ดูแลระบบของเว็บไซต์สามารถระบุการเปลี่ยนเส้นทาง URL สำหรับหน้าเว็บบางหน้าหรือไดเรกทอรีบนเว็บไซต์ ตัวอย่างเช่น ในเซิร์ฟเวอร์ Apache จะหมายถึงไฟล์ .htaccess และ httpd.conf

สำหรับข้อมูลคร่าวๆ เกี่ยวกับเว็บไซต์ที่ถูกโจมตีให้เผยแพร่มัลแวร์ โปรดดูประเมินความเสียหาย (ถูกแฮ็กด้วยมัลแวร์)

ฉันจะยืนยันลักษณะการเปลี่ยนเส้นทางของประเภทมัลแวร์ "การกำหนดค่าเซิร์ฟเวอร์"

ก่อนอื่น ให้หลีกเลี่ยงการใช้เบราว์เซอร์เพื่อดูหน้าที่ติดมัลแวร์บนเว็บไซต์ของคุณ เนื่องจากมัลแวร์มักจะแพร่กระจายโดยใช้ช่องโหว่จากเบราว์เซอร์ การเปิดหน้าเว็บที่ติดมัลแวร์ในเบราว์เซอร์อาจทำให้คอมพิวเตอร์ของคุณเสียหายได้

ลองยืนยันลักษณะการทำงานดังกล่าวโดยใช้ cURL หรือ Wget เพื่อส่งคำขอ HTTP (ตัวอย่างเช่น ขอดึงข้อมูลหน้าเว็บ) เครื่องมือที่มีให้ใช้งานฟรีเหล่านี้จะใช้ในการวิเคราะห์การเปลี่ยนเส้นทาง รวมทั้งให้ความยืดหยุ่นในการรวมข้อมูลผู้อ้างอิงหรือ user-agent การแสดงเฉพาะเนื้อหาที่เป็นอันตรายต่อผู้ใช้โดยใช้ user-agent หรือผู้อ้างอิงที่เฉพาะเจาะจงทำให้แฮกเกอร์สามารถกำหนดเป้าหมายไปยัง "ผู้ที่มีตัวตนอยู่จริง" มากขึ้น และสามารถหลีกเลี่ยงการตรวจจับจากเจ้าของเว็บไซต์และโปรแกรมสแกนมัลแวร์ได้ดียิ่งขึ้น (เว็บไซต์ของคุณจะต้องออนไลน์เพื่อใช้เครื่องมือเหล่านี้) ตัวอย่างเช่น

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
เช่น
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
ดังนั้นการดึงหน้าเว็บที่มีการติดมัลแวร์ประเภท "การกำหนดค่าเซิร์ฟเวอร์" อาจแสดงส่วนหัวต่อไปนี้
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

ฉันจะทำความสะอาดเว็บไซต์ของฉันจากมัลแวร์ประเภท "การกำหนดค่าเซิร์ฟเวอร์" ได้อย่างไร

ลงชื่อเข้าสู่ระบบเซิร์ฟเวอร์ผ่านการเข้าถึงเชลล์/เทอร์มินัล (เว็บไซต์อาจออฟไลน์หากคุณต้องการ) และตรวจสอบไฟล์การกำหนดค่าเซิร์ฟเวอร์ที่เกี่ยวข้อง แฮกเกอร์อาจแก้ไขไฟล์การกำหนดค่าเซิร์ฟเวอร์บนเว็บไซต์ของคุณมากกว่า 1 ไฟล์ ให้ตรวจหาคำสั่งอันไม่พึงประสงค์ของไฟล์เหล่านี้ เช่น การเปลี่ยนเส้นทาง ซึ่งแฮกเกอร์อาจกำหนดค่าให้เว็บไซต์ของคุณเปลี่ยนเส้นทางไปยังเว็บไซต์โจมตีมัลแวร์ที่ไม่รู้จัก ตัวอย่างเช่นใน .htaccess

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
เพิ่มเติม
  • อย่าลืมตรวจสอบทั้งไฟล์เผื่อว่าแฮกเกอร์ได้เพิ่มโค้ดในตอนท้ายของไฟล์ ซึ่งคุณอาจมองข้ามไปได้ง่ายๆ
  • ตรวจสอบงาน cron ที่เป็นไปได้ซึ่งสร้างขึ้นโดยแฮกเกอร์และออกแบบมาเพื่ออัปเดตไฟล์ .htaccess อย่างต่อเนื่อง งาน cron อาจแสดงอยู่ในตำแหน่งต่างๆ หลายแห่ง เช่น /etc/crontab (รวมถึงไดเรกทอรี /etc/cron* จำนวนมาก) และ /var/spool/cron

เมื่อพร้อมที่จะทำความสะอาดเว็บไซต์ของคุณแล้ว คุณสามารถแทนที่ไฟล์การกำหนดค่าเซิร์ฟเวอร์ด้วยข้อมูลสำรองที่คุณทราบว่าใช้งานได้ หรือคุณจะลบโค้ดที่ไม่พึงประสงค์ในไฟล์ที่มีอยู่ก็ได้ อย่าลืมรีสตาร์ทเว็บเซิร์ฟเวอร์หากจำเป็น เพื่อให้ไฟล์การกำหนดค่าใหม่ทำงาน

การทำความสะอาดมัลแวร์ประเภท "การกำหนดค่าเซิร์ฟเวอร์" จะช่วยในการกู้คืนเว็บไซต์ที่ถูกแฮก แต่จะไม่ได้แก้ไขช่องโหว่ที่มีอยู่ที่ทำให้แฮกเกอร์แฮกเว็บไซต์ของคุณได้ตั้งแต่แรก (และอาจจะแฮกอีก) สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการทำความสะอาดทั้งเว็บไซต์ โปรดดูหัวข้อถูกแฮกด้วยมัลแวร์ในเอกสารประกอบเรื่องการกู้คืนจากการถูกแฮก

ข้อมูลนี้มีประโยชน์ไหม
เราจะปรับปรุงได้อย่างไร