Loại nhiễm phần mềm độc hại: Cấu hình máy chủ

Việc có URL với loại nhiễm phần mềm độc hại "Cấu hình máy chủ" trong Search Console nghĩa là gì?

Điều này nghĩa là tin tặc đã xâm hại trang web của bạn và đang chuyển hướng khách truy cập từ trang web của bạn đến trang web tấn công phần mềm độc hại của họ, có thể bằng cách thay đổi (các) tệp cấu hình trong máy chủ của bạn. Tệp cấu hình máy chủ thường cho phép quản trị viên trang web xác định chuyển hướng URL cho các trang hoặc thư mục cụ thể trên một trang web. Ví dụ: trên máy chủ Apache, đây là tệp .htaccess và httpd.conf.

Để biết thông tin tổng quát hơn về những trang web bị xâm hại để phân phối phần mềm độc hại, hãy xem Đánh giá thiệt hại (bị tấn công với phần mềm độc hại).

Làm thế nào tôi có thể xác nhận hành vi chuyển hướng thuộc loại phần mềm độc hại "Cấu hình máy chủ"?

Đầu tiên, hãy tránh sử dụng trình duyệt để xem các trang bị nhiễm trên trang web của bạn. Bởi vì phần mềm độc hại thường lây lan bằng cách khai thác lỗ hổng trình duyệt, việc mở một trang bị nhiễm phần mềm độc hại trong một trình duyệt có thể làm hỏng máy tính của bạn.

Hãy xem xét xác nhận hành vi bằng cách sử dụng cURL hoặc Wget để thực hiện yêu cầu HTTP (ví dụ: để tìm nạp một trang). Các công cụ miễn phí rất hữu ích trong việc chẩn đoán chuyển hướng và có sự linh hoạt để bao gồm liên kết giới thiệu hoặc thông tin tác nhân người dùng. Bằng cách chỉ phân phối nội dung độc hại cho người dùng với tác nhân người dùng hay liên kết giới thiệu cụ thể, tin tặc có thể nhắm mục "người thực" và có thể tránh bị phát hiện bởi chủ sở hữu trang web và trình quét phần mềm độc hại tốt hơn. (Trang web của bạn sẽ cần phải trực tuyến để sử dụng các công cụ này.) Ví dụ:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
chẳng hạn như
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Vì vậy việc tìm nạp một trang bị nhiễm "cấu hình máy chủ" có thể trả về tiêu đề sau đây:
...
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Làm thế nào để xóa loại phần mềm độc hại "cấu hình máy chủ" khỏi trang web của tôi?

Đăng nhập vào máy chủ của bạn thông qua truy cập SSH/đầu cuối (trang web có thể ngoại tuyến nếu bạn muốn) và xem lại các tệp cấu hình máy chủ liên quan. Có thể có nhiều hơn một tệp cấu hình máy chủ trên trang web của bạn đã bị chỉnh sửa bởi tin tặc. Kiểm tra tệp để tìm lệnh không mong muốn, chẳng hạn như chuyển hướng, mà qua đó tin tặc có thể định cấu hình trang web của bạn để chuyển hướng đến các trang web tấn công phần mềm độc hại chưa xác định. Ví dụ: trong .htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Ngoài ra:
  • Hãy đảm bảo kiểm tra toàn bộ tệp trong trường hợp tin tặc thêm mã của họ vào cuối tệp, nơi mà nó có thể dễ dàng bị bỏ qua.
  • Điều tra cron job tiềm năng do tin tặc tạo được thiết kế để cập nhật liên tục tệp .htaccess. Cron job có thể được liệt kê trong một số địa điểm bao gồm /etc/crontab (cả nhiều thư mục /etc/cron* khác) và /var/spool/cron.

Khi đã sẵn sàng để làm sạch trang web của bạn, bạn có thể thay thế các tệp cấu hình máy chủ bằng một bản sao lưu chính xác đã biết hoặc bạn có thể xóa mã không mong muốn trên tệp hiện tại. Hãy nhớ khởi động lại máy chủ web của bạn nếu điều đó là bắt buộc để tệp cấu hình mới hoạt động.

Thao tác xóa loại phần mềm độc hại "cấu hình máy chủ" hữu ích trong việc khôi phục một trang web bị tấn công, nhưng nó không giải quyết lỗ hổng cơ bản là nguồn gốc khiến tin tặc có thể xâm hại trang web của bạn (và cách họ có thể thực hiện điều đó một lần nữa). Để biết thêm thông tin về làm sạch toàn bộ trang web của bạn, hãy xem chủ đề Bị tấn công với phần mềm độc hại trong tài liệu khôi phục khi bị tấn công.

Thông tin này có hữu ích không?
Chúng tôi có thể cải thiện trang này bằng cách nào?