Reading Time: 11 minutes

Website của bạn bị tấn công. Cần phải làm gì? Bạn sẽ bắt đầu từ đâu? Đừng lo. Tất cả dữ liệu không bị mất, và có thể tìm ra cách phục hồi website. Mỗi ngày có tới hàng trăm website phải đối mặt với tình huống khó chịu này và rất nhiều rất nhiều trong số đó có thể khôi phục được về trạng thái ban đầu một cách hoàn hảo. Tất cả những gì bạn cần để phục hồi website là làm theo các bước dưới đây.

>> Nếu bạn đang trong tình trạng khẩn cấp, vui lòng liên hệ hotline CyStack: 0247 109 9656 hoặc 097 491 4322 (Mr. Trung).

Thông báo cho công ty hosting của bạn

Tất nhiên, bước đầu tiên cần làm là thông báo cho cá nhân hoặc công ty lưu trữ website ngay khi bạn phát hiện ra trang bị tấn công. Trong hầu hết các trường hợp, các nhà cung cấp hosting sẽ biết làm thế nào để phục hồi website bị tấn công tốt hơn nhiều so với bạn. Ngoài ra, rất có khả năng các công ty lưu trữ sử dụng cùng một máy chủ để lưu trữ website của nhiều khách hàng, do đó, họ sẽ muốn kiểm tra website của khách hàng khác để đảm bảo họ cũng không bị tấn công.

Thêm vào đó, hãy tự nghiên cứu và tìm kiếm thông tin qua loạt bài viết về vấn đề này trên Cystack blog và các diễn đàn có uy tín, tìm kiếm những cộng sự trực tuyến hữu ích có thể giúp bạn trong quá trình phục hồi website. Hãy cân nhắc việc nhờ tới sự trợ giúp của một chuyên gia bảo mật đáng tin cậy nếu cần. Bạn có thể hỏi những người trong ngành xung quanh để tham khảo thông tin về những công ty bảo mật mà họ sử dụng để phục hồi website trước khi đưa ra lựa chọn.

Các liên kết hữu ích:

• Kiến thức bảo mật website từ A – Z
• Quét lỗ hổng miễn phí cho website
• Quét mã độc website miễn phí
• Dịch vụ bảo mật website toàn diện

Cách ly trước khi phục hồi website

Gỡ website xuống để nó không còn cung cấp nội dung cho người dùng. Ví dụ: dừng máy chủ web hoặc trỏ các mục nhập DNS trên trang web tới một trang tĩnh trên máy chủ khác sử dụng mã phản hồi HTTP 503.

Bằng cách gỡ bỏ hoàn toàn website bị xâm nhập trước khi phục hồi, bạn có thể hoàn thành các nhiệm vụ quản trị với ít sự can thiệp hơn từ tin tặc và đồng thời, khách truy cập sẽ không bị tiếp xúc với mã độc hại hay tệp spam. Việc tạm thời gỡ website của bạn xuống trong quá trình khôi phục sẽ ít ảnh hưởng đến xếp hạng website ở kết quả tìm kiếm trong tương lai. Và, việc liên hệ với nhà cung cấp dịch vụ lưu trữ sẽ rất hữu ích nếu bạn không chắc làm thế nào để thực hiện công việc này. Hãy báo cho nhà cung cấp dịch vụ lưu trữ rằng bạn sẽ cần phải chuyển đổi trạng thái website của mình giữa trực tuyến và ngoại tuyến nhằm mục đích thử nghiệm vì điều đó có thể giúp cung cấp cho bạn phương pháp tự chủ nhất để gỡ website xuống.

Có một vài giải pháp phục hồi website thực sự không hữu ích như bạn tưởng. Việc định cấu hình để website trả lại mã trạng thái HTTP 4xx hoặc 5xx là không đủ để bảo vệ người dùng. Nội dung độc hại vẫn có thể được trả lại cho người dùng với 404, 503.

Nên xem xét kỹ danh sách tài khoản người dùng trên website và kiểm tra xem tin tặc có tạo tài khoản người dùng mới hay không. Nếu trường hợp đó xảy ra, hãy ghi lại tên các tài khoản đáng nghi cho các cuộc điều tra cần thiết. Sau đó, xóa các tài khoản này để ngăn chặn tin tặc đăng nhập.

Cuối cùng, hãy thay đổi mật khẩu cho tất cả người dùng website và các tài khoản (bao gồm thông tin đăng nhập cho FTP, truy cập cơ sở dữ liệu, quản trị viên hệ thống và tài khoản hệ thống quản lý nội dung (CMS). Đảm bảo mật khẩu mới khác nhiều so với những mật khẩu trước đó để chắc chắn rằng hacker sẽ không thể thành công khi thử lại mật khẩu.

Xác minh quyền sở hữu website

Bạn cũng cần phải xác minh quyền sở hữu website của mình trong Search Console khi muốn phục hồi website. “Nhưng đó là trang của tôi. Tại sao tôi cần xác minh quyền sở hữu?” Có thể là hacker đã xác minh quyền sở hữu trong Search Console và làm rối tung các cài đặt bạn đã thực hiện trong website của mình. Bằng cách xác minh quyền sở hữu và xem xét những thiệt hại đã xảy ra, bạn mới có thể xác định được bản chất của cuộc tấn công.

Để xác minh, chỉ cần mở một trình duyệt và điều hướng đến Google Search Console.

Nếu bạn có nhân viên kỹ thuật hoặc bên thứ 3 quản lý trang web. Hãy nhờ họ xem xét để đảm bảo website chưa bị chiếm quyền điều khiển và chủ sở hữu.

Nhấp vào “Search Console” và đăng nhập. Nhấp vào “Add a site” (Thêm một trang) và nhập URL website của bạn. Tab Recommended method (Phương pháp được đề xuất) trên trang xác minh hiển thị phương pháp mà Google cho là sẽ có hiệu quả nhất. Các phương pháp bổ sung được liệt kê trên tab Alternative method (Phương pháp thay thế). Đưa website của bạn trở lại trực tuyến nếu bạn đã chọn một phương pháp xác minh yêu cầu quyền truy cập vào website, chẳng hạn như thẻ meta HTML hoặc tệp HTML. Nhấp vào “verify” và nếu thành công, bạn sẽ nhận được thông báo cho biết bạn là chủ nhân được xác minh. Sau đó bạn có thể gỡ website của mình trở lại ngoại tuyến để làm những công việc khác.

Khi đã được xác minh, hãy kiểm tra để đảm bảo tin tặc chưa xác minh quyền sở hữu trong Search Console và thực hiện các thay đổi không mong muốn với cài đặt. Hãy di chuyển đến trang chủ Search Console chính bằng cách nhấp vào biểu tượng “Search Console”. Tìm website của bạn và nhấp vào “Manage site” (Quản lý trang). Nhấp vào “Add or remove users” (Thêm hoặc xóa người dùng), kiểm tra danh sách và đảm bảo rằng tất cả người dùng và chủ sở hữu được liệt kê trong danh sách này đều đã được ủy quyền. Nếu bạn thấy một tài khoản nào đó không hợp lệ, hãy ghi lại địa chỉ email và sau đó xóa khỏi danh sách. Điều tra các thay đổi không mong muốn với cài đặt trong Search Console bằng cách nhấp vào biểu tượng “Setting”. Hãy đảm bảo bạn đồng thời ghi chú và gỡ xuống bất kỳ thay đổi bất thường nào.

Xác định bản chất của cuộc tấn công

Mức độ nghiêm trọng của cuộc tấn công có thể khác nhau. Xem thông tin trong Message Center và Security Issues trong Search Console vì thông tin này có thể giúp bạn xác định mức độ tấn công. Một hacker có thể tấn công website nhằm một số mục đích sau đây:

• Dùng nội dung spam có thể làm giảm chất lượng và mức độ phù hợp của kết quả tìm kiếm.
• Nhằm mục đích lừa đảo.
• Để phân phối phần mềm độc hại.

Cách bạn xử lý từng loại tấn công có thể khác nhau. Để điều tra loại tấn công hoặc phần mềm độc hại, hãy kiểm tra thư trong Search Console. Bạn có thể đã nhận được thông báo từ Google về việc website đã được sử dụng để lừa đảo, spam hoặc phân phối phần mềm độc hại. Bạn cũng sẽ thấy tiêu đề của loại tấn công đã xảy ra với bạn khi di duyển đến mục “Các vấn đề bảo mật” trong công cụ quản trị website.

Đánh giá thiệt hại hệ thống tệp

Bây giờ là lúc cần có một cuộc điều tra chuyên sâu hơn. Tin tặc có thể đã thực hiện một số điều trong website của bạn, bao gồm sửa đổi các trang hiện có, tạo các trang “spam” mới, viết các hàm để hiển thị spam trên các trang sạch hoặc để lại “cửa sau” cho phép chúng xâm nhập lại website vào một ngày nào đó.

Trước tiên bạn có thể xác định các tập tin đã được tạo mới hoặc sửa đổi bằng cách so sánh với bản sao lưu website mới nhất mà bạn có. Ngoài ra, kiểm tra nhật ký máy chủ, truy cập vào các bản ghi lỗi cho bất kỳ hoạt động đáng ngờ nào như các nỗ lực đăng nhập không thành công, tạo tài khoản người dùng không xác định, lịch sử lệnh, v.v … Bạn có thể không tìm thấy bất cứ điều gì ở đây nếu tin tặc đã thay đổi hồ sơ và nhật ký vì mục đích riêng của chúng. Kiểm tra các tập tin cấu hình của bạn để tìm chuyển hướng. Kiểm tra để hạn chế quyền truy cập với các thư mục và tệp tin có quyền truy cập quá rộng.

Xác định lỗ hổng để phục hồi website

Bạn có thể tìm ra nhiều hơn một lỗ hổng, và một số trong đó có thể dễ dàng khắc phục hơn so với số còn lại. Thậm chí nếu bạn chỉ tìm thấy một lỗ hổng, hãy tiếp tục tìm kiếm những lỗ hổng khác, chúng có thể tiềm ẩn ở đâu đó tùy thuộc vào sự tinh vi của hacker.

Chỉ với trình quét chống virus sẽ không thể xác định vị trí lỗ hổng. Lý tưởng nhất với bạn là một trình quét lỗ hổng. Một số lỗ hổng tiềm năng có thể là:

• Mật khẩu yếu hoặc được sử dụng lại
• Máy tính của quản trị viên bị nhiễm virus
• Các phương pháp mã hóa lỏng lẻ 
• Phần mềm đã lỗi thời

Bạn có thể quét lỗ hổng miễn phí với công cụ CyStack Scan để xem xét sơ bộ. Nếu vẫn không phát hiện ra lỗ hổng, có thể sẽ cần tới dịch vụ Pentest (tìm lỗ hổng thủ công); hoặc dịch vụ Ứng cứu sự cố.

Làm sạch và bảo trì cho website của bạn

Dưới đây là một số cách tốt nhất để làm sạch và phục hồi website của bạn:

• Tìm nguồn hỗ trợ khi xử lý việc bị mất thông tin bí mật. Nếu bạn bị tấn công bởi kẻ lừa đảo, rất có thể thông tin mật của người dùng đã bị đánh cắp. Bạn có thể muốn tìm hiểu, xem xét mọi trách nhiệm về pháp lý, luật định, kinh doanh trước khi bắt đầu làm sạch website hoặc xóa bất kỳ tệp nào.
• Bạn cần xóa các URL mới do tin tặc tạo ra nếu có. Tuy nhiên, hãy cẩn thận trong việc xoá các trang. Không xóa bất kỳ trang nào từng hợp lệ nhưng đã bị tin tặc phá hỏng bởi – bạn sẽ muốn các trang này xuất hiện trong kết quả tìm kiếm khi trang đã được làm sạch. Chỉ nên xóa URL với các trang bạn không bao giờ muốn xuất hiện trong kết quả tìm kiếm.
• Bạn cũng có thể xem xét xử lý nhanh bằng tính năng Google’s Fetch (Tìm nạp như Google) của Google trong Search Console để gửi các trang này tới chỉ mục của Google.

Làm sạch máy chủ của bạn

Bạn có thể bắt đầu bằng cách khôi phục tệp sao lưu của mình, nhưng hãy đảm bảo rằng bản sao lưu đã được tạo trước khi website bị tấn công. Cài đặt bất kỳ bản nâng cấp, cập nhật hay vá lỗi nào. Điều này bao gồm phần mềm cho hệ điều hành nếu bạn nắm quyền kiểm soát máy chủ và tất cả các ứng dụng. Hãy xem qua tất cả các phần mềm hiện có trên máy chủ của mình và xem những gì có thể loại bỏ được nếu cần. Thay đổi tất cả mật khẩu một lần nữa cho tất cả các tài khoản có liên quan đến website.

Không có gì là hoàn hảo, và rất có thể bạn không có bản sao lưu. Nhưng bạn vẫn còn hy vọng. Thực hiện hai lần sao lưu website của bạn ngay bây giờ, mặc dù nó vẫn đang bị nhiễm mã độc. Một bản sao lưu sẽ là một phiên bản “nhân bản” hoặc hình ảnh ổ đĩa của website, sẽ giúp bạn phục hồi website. Bản còn lại sẽ là một hệ thống tập tin sao lưu từ máy chủ của bạn. Sau đó, làm sạch nội dung của website trên hệ thống tệp sao lưu mới (không phải là trên chính máy chủ). Sửa lại bất kỳ lỗ hổng nào bạn tìm thấy trong mã hoặc các mật khẩu bị bẻ khóa một lần nữa. Loại bỏ bất kỳ tiện ích con, plug-in hoặc các ứng dụng mà website không còn sử dụng nữa rồi chuyển sang bước tiếp theo.

Hãy chắc chắn những gì bạn đang làm là thực hiện cài đặt mới chứ không chỉ là nâng cấp. Nâng cấp có thể để lại các tệp tin từ một phiên bản trước đó. Chuyển nội dung tốt từ bản sao lưu của bạn trở lại hệ thống và dĩ nhiên thay đổi tất cả mật khẩu lần cuối nếu cần.

Checklist phục hồi website bị hack

Hãy chắc chắn rằng bạn có thể trả lời “có” cho những câu hỏi này trước khi bạn tự tin rằng mình đã hoàn thành công việc phục hồi website một cách xuất sắc:

• Tôi đã thực hiện tất cả các bước thích hợp nếu tin tặc lấy được thông tin cá nhân của người dùng?
• Website của tôi có đang chạy phiên bản phần mềm mới nhất, an toàn nhất?
• Tôi đã xoá tất cả các ứng dụng hoặc plugin không cần thiết hoặc không được sử dụng?
• Tôi đã gỡ bỏ tất cả các nội dung của tin tặc?
• Nội dung của tôi có được khôi phục một cách an toàn?
• Tôi đã sửa lỗ hổng là nguyên nhân gốc rễ khiến website bị tấn công chưa?
• Tôi có kế hoạch giữ an toàn cho website của mình không?

Hãy chắc chắn rằng bạn có một kế hoạch bảo trì dài hạn như đã đề cập ở trên và luôn luôn giữ cảnh giác. Không quan tâm đến những điều này sẽ khiến bạn dễ gặp phải nhiều cuộc tấn công hơn trong tương lai. Nếu bạn trả lời có cho tất cả các câu hỏi này, tốt, bạn còn chờ gì nữa hãy đưa website trực tuyến trở lại.

Yêu cầu đánh giá

Website của bạn có thể đã được sao lưu và khởi chạy, nhưng bạn cần phải được Google đánh giá lại để website của bạn không bị gắn cờ là trang nguy hiểm hoặc lừa đảo. Bạn phải hoàn thành tất cả các bước được đề cập ở trên trước khi yêu cầu đánh giá lại. Khi xử lý các cuộc tấn công lừa đảo, hãy yêu cầu đánh giá tại: google.com/safebrowsing/report_error/. Đối với spam hoặc phần mềm độc hại, hãy chuyển tới báo cáo Sự cố bảo mật trong Search Console. Nhấp để yêu cầu đánh giá, nhưng bạn sẽ cần cung cấp thêm thông tin để cho Google biết rằng website đã được làm sạch. Thông tin đó sẽ là cần thiết trước khi Google xử lý yêu cầu đánh giá của bạn.

Thời gian chờ đợi quá trình đánh giá được xử lý

Bây giờ bạn phải chờ yêu cầu đánh giá được xử lý. Nó phụ thuộc vào loại hình đánh giá mà bạn yêu cầu. Các bài đánh giá phần mềm độc hại thường chỉ mất vài ngày để có phản hồi. Đánh giá về hacker, spam có thể mất vài tuần do tính phức tạp của quy trình. Các bài đánh giá lừa đảo mất khoảng một đến hai ngày để xử lý. Sau khi xem xét, Google nhận thấy website đã được làm sạch, mọi cảnh báo từ các trình duyệt và kết quả tìm kiếm sẽ bị xóa. Hoặc, bạn sẽ nhận được báo cáo về vấn đề bảo mật trong Search Console.

Yêu cầu được chấp thuận

Nếu yêu cầu của bạn được chấp thuận, hãy kiểm tra lại trên website. Mọi thứ có hoạt động như bạn mong muốn không? Các trang có tải được bình thường không? Nếu tất cả đều tốt, bạn đã hoàn thành công việc phục hồi website. Tuy nhiên, để đảm bảo duy trì website hoạt động tốt và tránh bị tấn công trở lại, hãy chắc chắn rằng bạn đã thực hiện kế hoạch bảo trì và bảo mật cho website của mình.

Bạn cần dịch vụ ứng cứu website bị hack hoặc dịch vụ bảo mật website toàn diện? Vui lòng liên hệ CyStack.