Kiểu tấn công: Đưa vào URL

Việc có các trang bị đánh dấu loại trang web bị tấn công "Đưa vào URL" trong Search Console nghĩa là gì?

Điều này nghĩa là tin tặc đã tạo các trang mới trên trang web của bạn, thường chứa từ hay liên kết spam. Đôi khi các trang mới này chứa mã mà sẽ thực hiện những điều bạn không có ý định làm, chẳng hạn như chuyển hướng người dùng của bạn đến các trang web khác hoặc làm cho máy chủ web của bạn tham gia hình thức tấn công từ chối dịch vụ vào các trang web khác.

Thông thường, tin tặc chỉnh sửa trang web của bạn theo một trong các cách sau:

  • Bằng cách giành quyền truy cập vào một thư mục không an toàn trên máy chủ của bạn. Ví dụ: bạn có thể đã vô tình để một thư mục có quyền mở.
  • Bằng cách khai thác một lỗ hổng trong phần mềm chạy trên trang web của bạn, chẳng hạn như một hệ thống quản lý nội dung. Ví dụ: bạn có thể đang chạy một phiên bản cũ hơn, kém an toàn của WordPress.
  • Bằng cách tấn công các plugin bên chứ ba mà bạn sử dụng trên trang web của mình, chẳng hạn như bộ đếm khách truy cập.

Để biết thông tin tổng quát hơn về các trang web bị xâm phạm với spam, hãy xem Bước 5: Đánh giá thiệt hại (thư rác) trong quy trình khôi phục Trợ giúp cho trang web bị tấn công.

Làm thế nào để tôi có thể xác nhận rằng trang spam đã bị tin tặc thêm vào trang web của tôi?

Bắt đầu điều tra với các URL ví dụ được hiển thị trong thông báo bạn nhận được hoặc danh sách trên trang Các vấn đề bảo mật của Search Console.  Hãy ghi lại chi tiết những gì bạn tìm thấy trên từng URL.

Để xác nhận rằng trang mới đã bị thêm vào trang web của mình, bạn có thể sử dụng các phương pháp sau, ngay cả nếu trang web của bạn đang ngoại tuyến:

  • Bạn cũng có thể thực hiện phép tìm kiếm “site:” chẳng hạn như [site:example.com] trong Google (lưu ý: phải không có khoảng trắng giữa toán tử site: và tên miền của bạn). Truy vấn này trên trang web của bạn hiển thị các trang từ trang web của bạn mà chúng tôi đã lập chỉ mục. Ở đây bạn có thể kiểm tra xem có các trang khác mà chắc chắn không phải do bạn tạo hay không. Đối với các trang lớn hơn, bạn có thể sử dụng truy vấn cụ thể hơn, chẳng hạn như [site:example.com pharmacy], [site:example.com/wp-admin/] hoặc [site:example.com inurl:hacked.php].
  • Bạn có thể đăng nhập vào máy chủ của bạn thông qua truy cập SSH/đầu cuối và kiểm tra cụ thể xem các ví dụ được cung cấp trong loại "Đưa vào URL" trên trang Các vấn đề bảo mật có tồn tại hay không.

Để xem nội dung của các trang mới, tránh sử dụng một trình duyệt để xem chúng. Chúng có thể chứa phần mềm độc hại và phần mềm này thường lây lan bằng cách khai thác các lỗ hổng trong trình duyệt. Việc mở một trang như vậy bằng trình duyệt có thể làm hỏng máy tính của bạn. Ngay cả khi không có phần mềm độc hại trên trang, những gì bạn thấy trong một trình duyệt thường không phản ánh những gì Google và/hoặc người dùng thấy vì tin tặc có thể ẩn trang spam bằng cách sử dụng kỹ thuật che giấu.Bạn có thể không thấy gì hoặc trình duyệt không tìm thấy trang web (trạng thái trả lại HTTP là 404). Có thêm thông tin về kỹ thuật che giấu trong video tương ứng với Bước 5: Đánh giá thiệt hại (spam) trong quy trình khôi phục Trợ giúp cho trang web bị tấn công.

Thay vì sử dụng trình duyệt, bạn có thể xác nhận rằng trang spam đã bị thêm vào trang web của bạn bằng cách sử dụng một trong các phương pháp sau:

  • Use “Fetch as Google” in Webmaster Tools:
    Google’s free Search Console provides a feature called “Fetch as Google” that you can use to see a page on your site as Google machines see it. This is useful since many hackers make changes that are visible only to Google machines. For example, they might add links to their site from yours that are only rendered when the referrer is Google.
  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Trong đầu ra của Tìm nạp như Google, Wget hay cURL, bạn có thể xem nội dung của trang đáng ngờ mới bị thêm.

Làm thế nào để tôi xóa loại tấn công "Đưa vào URL" khỏi trang web của bạn?

Khi đã sẵn sàng để làm sạch trang web của bạn (Bước 7 của quy trình khôi phục Trợ giúp cho trang web bị tấn công), bạn có thể thay thế các thư mục bị ảnh hưởng bằng bản sao lưu tốt gần đây nhất hoặc bạn có thể xóa các trang không mong muốn và bất kỳ tệp hay chức năng nào mà tin tặc sử dụng để tạo chúng.

Xin lưu ý rằng việc xóa các trang độc hại không xử lý lỗ hổng cơ bản chính là nguyên nhân khiến tin tặc có thể xâm phạm trang web của bạn ngay từ đầu. Nếu không khắc phục nguyên nhân nguồn gốc, trang web của bạn có thể bị tấn công lần nữa trong tương lai. Một điều hữu ích, ví dụ là cập nhật bất kỳ phần mềm nào chạy trang web của bạn, chẳng hạn như cài đặt WordPress cũ. Để biết thêm thông tin về việc làm sạch toàn bộ trang web của bạn, không chỉ loại tấn công này, hãy xem "Đánh giá thiệt hại hệ thống tệp" trong Bước 5: Đánh giá thiệt hại (spam) của quy trình khôi phục Trợ giúp cho trang web bị tấn công.

Thông tin này có hữu ích không?
Chúng tôi có thể cải thiện trang này bằng cách nào?