Khôi Phục Một Trang Web Bị Hack Phần 4

Bước 5: Đánh giá thiệt hại (thư rác)

Tạo một danh sách tất cả các tập tin bị ảnh hưởng và xác định mục đích của hacker.

Bước này liên quan đến các trang web bị hack để lưu trữ thư rác, thường là với sự cảnh báo "Trang web này có thể bị tấn" được hiển thị trong kết quả tìm kiếm. Đó là một trong những bước dài trong quá trình phục hồi. Trong bước này, bạn sẽ biên dịch một danh sách các tập tin bị hư hỏng trên trang web của bạn. Bạn sẽ sử dụng danh sách này trong Bước 7: Làm sạch và duy trì trang web của bạn .

Nếu trang web của bạn bị ảnh hưởng bởi phần mềm độc hại, hiển thị các cảnh báo "Trang web này có thể gây hại cho máy tính của bạn" trong kết quả tìm kiếm, vui lòng xem các bài viết tương ứng, Bước 5: Đánh giá thiệt hại (malware) .

Bạn sẽ cần:

-Shell / thiết bị đầu cuối truy cập quản trị vào các máy chủ của trang web: web, cơ sở dữ liệu, tập tin

-Kiến thức của shell / lệnh terminal

-Quyền sở hữu xác minh của trang web trong Công cụ Quản trị Trang web của Google

Những gì bạn sẽ làm:

Bước này có năm phần:

-Sự chuẩn bị

-Điều tra sơ bộ nội dung thư rác (bạn sẽ hoàn tất bước này trước khi bạn đăng nhập vào máy chủ của bạn)

-Điều tra dựa trên web rộng hơn.

-Đánh giá thiệt hại hệ thống tập tin chung

-Xác định mục đích của hacker

Sự chuẩn bị

Tạo một tài liệu ghi lại những phát hiện từ bước này. Tài liệu này cuối cùng sẽ bao gồm (tối thiểu) tên / địa điểm của mỗi tập tin bị hư hỏng và ghi chú về cách nó đã bị nhiễm, và sẽ phục vụ như là cơ sở cho Bước 7: Làm sạch và duy trì trang web của bạn .

(Bắt buộc) Xem video trên để xem làm thế nào tin tặc sử dụng các trang web cho mục đích spam, và làm thế nào họ có thể ẩn các bài hát của họ.

Tìm hiểu một trong ba kỹ thuật dưới đây, mà không cần phải đăng nhập vào máy chủ web.

-Thiện một bộ nhớ cache: tìm kiếm Google

-Sử dụng Tìm nạp như Google

- dụng cURL hoặc wget

Những kỹ thuật này, được nêu dưới đây, có thể giúp bạn điều tra một cách an toàn các trang bị hack. Không mở các trang bị hack trong một trình duyệt như các hacker có thể đã được cấu hình thời gian gần đây các trang spam để phân phối phần mềm độc hại (ví dụ, mở các trang trong một trình duyệt có thể làm hỏng máy tính của bạn).

Thực hiện một bộ nhớ cache: tìm kiếm Google

Kỹ thuật đầu tiên là để thực hiện một bộ nhớ cache: Google tìm kiếm để xem những gì trước đây Google đã lập chỉ mục cho các trang. Để thực hiện tìm kiếm bộ nhớ cache, hoàn tất các bước sau đây:

-Trong hộp Search Google, gõ "cache:", sau đó các URL: [cache: https: //www.example.com/page.html]

-Nội dung không mong muốn của hacker có thể được rõ ràng từ kết quả lưu trữ, nhưng nếu không, hãy kích văn bản .

-Hãy ghi chú chi tiết về bất kỳ thiệt hại mà bạn nhìn thấy.

Xin lưu ý rằng kỹ thuật này có thể không hữu ích (ví dụ, sẽ không trợ giúp các điều tra) cho tất cả các trang web bị tấn công với nội dung spam. Điều này là bởi vì có những trường hợp Tìm kiếm Google có thể khôi phục lại một số trang của website bị hack của bạn lên phiên bản sạch cuối cùng trước khi thiệt hại của hacker. Trong những trường hợp các nội dung được phục hồi, bộ nhớ cache: tìm kiếm có thể không tiết lộ thông tin hữu ích hack.

Sử dụng Tìm nạp như Google

Các kỹ thuật tiếp theo là sử dụng các tính năng Tìm nạp như Google trong Webmaster Tools để xem các nội dung phục vụ cho Google trong thời gian thực. Để sử dụng Tìm nạp như Google, hoàn tất các bước sau đây:

1.Hãy chắc chắn rằng trang web của bạn là trở lại trực tuyến.

2.Đăng nhập vào Google Webmaster Tools .

3.Chọn các trang web mà bạn xác minh trong Bước 4.

4.Nhấn vào Thu thập thông tin, và sau đó nhấp vào Tìm nạp như Google.

5.Nhập URL của trang web mà bạn muốn lấy (ví dụ, page.html). Nói chung, bạn sẽ không phải thay đổi trình đơn thả xuống từ Web. Sau đó nhấp vào Fetch.

6.Nếu bạn nhìn thấy một liên kết thành công, nhấn vào đây để xem nội dung của các trang như là lấy được bằng bánh xích của Google, Googlebot.

Khi bạn xem xét các nội dung, tìm kiếm bất cứ điều nào sau đây:

-Văn bản và các liên kết spam. Đây có thể là rõ ràng, nhưng nếu không, hãy thử tìm kiếm cho từ khóa spam thông thường như tên các sản phẩm dược phẩm hay những từ như "giá rẻ", "tự do", "sòng bạc" và "nghiệp dư".

-Obfuscated text spam, liên kết, hoặc làm mới meta (có thể khó phát hiện). Hãy thử tìm kiếm các mã trang cho các từ như base_64. Ví dụ, văn bản như eval(base_64_decode("aisiYSlbYlaws...")) có thể được sử dụng để che đậy.

Nếu không có thiệt hại được tìm thấy qua Tìm nạp như Google, hacker có thể đã được cấu hình trang web của bạn để chỉ phục vụ các trang spam vào các thời điểm nhất định trong ngày hoặc chỉ cho người dùng đến từ một giới thiệu cụ thể (chẳng hạn như từ một trang kết quả tìm kiếm hoặc chỉ cho người sử dụng của một trình duyệt cụ thể). Để mô phỏng hành vi này, bạn có thể sử dụng cURL hoặc wget.

Sử dụng cURL hoặc wget

Những công cụ tự do có sẵn có thể làm cho các yêu cầu HTTP bao gồm giới thiệu hoặc trình duyệt thông tin. Ví dụ:

 $ Curl -v --referer "https://www.google.com" --user-agent "Mozilla / 5.0 (Macintosh; Intel

 Mac OS X 10_6_8) AppleWebKit / 534,30 (KHTML, như Gecko) Chrome / Safari 12.0.742.112 / 534,30 "

 https://www.example.com/page.html

Điều tra sơ bộ nội dung thư rác

Điều tra các ví dụ URL hack được cung cấp bởi Công cụ quản trị trang web. Bạn sẽ hoàn tất bước này trước khi bạn đăng nhập vào máy chủ của bạn.

Để lừa đảo

Nếu trang web của bạn bị ảnh hưởng bởi phishing--

1.Điều hướng đến Message Center trong Công cụ Quản trị Trang web.

2.Sao chép URL ví dụ được cung cấp trong thông báo tin nhắn lừa đảo vào tài liệu điều tra của bạn (đã tạo ở trên).

3.Xác nhận thiệt hại của hacker trên mỗi trong những ví dụ URL lừa đảo sử dụng bất kỳ kỹ thuật được liệt kê trong phần chuẩn bị ở trên (ví dụ, bộ nhớ cache: tìm kiếm Google, Tìm nạp như Google, cURL hoặc wget). Ghi lại tất cả các kết quả của thiệt hại trong tài liệu điều tra của bạn.

 

Đối với nội dung spam

Nếu trang web của bạn bị ảnh hưởng bởi nội dung spam (không lừa đảo các trang) -

1.Điều hướng đến vấn đề an ninh trong Công cụ Quản trị Trang web.

2.Điều tra tất cả các loại tấn công (ví dụ, tiêm Content, Mã tiêm) được liệt kê trong phần hack các vấn đề bảo mật cho trang web của bạn. Thông tin thêm về các URL tấn công từ các loại có thể được tìm thấy bằng cách nhấn vào Xem chi tiết. (Thông tin chi tiết có thể bao gồm các đoạn nội dung mẫu tiêm bởi các hacker.)

3.Đối với mỗi thể loại, sao chép sau đây vào tài liệu điều tra của bạn:

-Tất cả ví dụ hack URL được liệt kê cho các loại tấn công trong vấn đề an ninh.

-Bất kỳ trang khác bị hư hỏng bạn phát hiện ra trong quá trình điều tra của bạn.

-Phát hiện chi tiết về các URL bị hack, chẳng hạn như các loại thiệt hại gây ra.

Thông tin để hỗ trợ điều tra cho mỗi thể loại tấn công này là dưới đây:

Tiêm nội dung .

Tiêm URL .

Mã tiêm .

Điều tra dựa trên web rộng hơn

Nếu bạn chưa có, thực hiện một site: tìm kiếm trên Google để tìm thêm các trang bị hư hại bởi các hacker. Các site: tìm kiếm điều hành, chẳng hạn như [ site: example.com ], trả về kết quả giới hạn ở những trang phù hợp với các trang web được chỉ định.

-Đọc lướt các trang này cho nội dung spam. Nếu tất cả các kết quả trông sạch sẽ, cố gắng bao gồm các điều khoản truy vấn bổ sung vào trang web: tìm kiếm, tương tự như: [site: example.com (giá rẻ | miễn phí | viagra | cialis | casino | amateur)]

-Tiếp tục để ý đến bất kỳ trang nào bị ảnh hưởng phát hiện thông qua một trang web: truy vấn.

Đánh giá thiệt hại hệ thống tập tin

Tiếp theo, bạn sẽ cần phải đăng nhập vào hệ thống tập tin trang web của bạn để điều tra sâu hơn. Hãy nhận biết rằng - trong số những thứ khác - các hacker có thể sửa đổi các trang hiện có hoặc hồ sơ cơ sở dữ liệu, tạo ra các trang spam hoàn toàn mới, chức năng bằng văn bản để hiển thị thư rác trên các trang sạch, hoặc để lại "cửa hậu" mà sẽ cho phép các hacker tái nhập cảnh trang web của bạn hoặc sẽ tiếp tục thực hiện các nhiệm vụ nguy hiểm nếu không bị xóa.

Nếu trang web của bạn đang trực tuyến, bạn có thể mang nó lại ẩn cho bước này.

1.Nếu bạn tin rằng bạn có một sao lưu sạch của trang web của bạn, làm việc để xác định các tập tin đã được tạo ra hoặc sửa đổi kể từ khi sao lưu:

 $ Diff -qr

Ví dụ:

  $ Diff -qr www / sao lưu / full-backup-20120124 /

Bạn cũng có thể sử dụng

  $ Md5sum

Ví dụ:

  $ Md5sum sao lưu www / page.html / full-backup-20.120.124 / page.html

2.Thêm tất cả các kết quả vào danh sách các tập tin bị ảnh hưởng.

3.Đăng nhập vào hệ thống tập tin và điều tra cả các URL được liệt kê trong Công cụ Quản trị tin nhắn và các URL từ trang web: truy vấn.

-Thiệt hại có thể không chỉ giới hạn ở các trang bị ảnh hưởng HTML, tập tin cấu hình, hoặc hồ sơ cơ sở dữ liệu. Nó có thể được gây ra bởi một hàm trong một JavaScript hay PHP, nằm trong một kịch bản hay hệ thống tập tin riêng biệt. Một lần nữa, lưu ý các điểm trang và thiệt hại của hacker.

4.Thực hiện một cuộc điều tra hệ thống tập tin rộng hơn để triệt để ghi lại tất cả các thiệt hại cho trang web của bạn.

-Kiểm tra máy chủ, truy cập, và các bản ghi lỗi cho bất kỳ hoạt động đáng ngờ, chẳng hạn như lần thất bại đăng nhập, lịch sử lệnh (đặc biệt là root), việc tạo ra các tài khoản người dùng không biết, và như vậy. Hãy nhận biết rằng các hacker có thể đã bị thay đổi các bản ghi này cho mục đích riêng của họ. (Nếu hữu ích, một số ví dụ được trình bày trong đoạn video cho Bước 6: Xác định các lỗ hổng .)

-Kiểm tra các tập tin cấu hình, chẳng hạn như .htaccess và httpd.conf, cho đổi hướng. Hacker thường tạo đổi hướng có điều kiện dựa trên nhân người dùng, thời gian trong ngày, hoặc referer.

5.Kiểm tra thư mục và tập tin đặc quyền cho phép ghi quá khoan dung, chẳng hạn như 777 (tương đương với truy cập trên toàn thế giới ghi). Thường thì hacker làm xáo trộn với sự cho phép hy vọng rằng nếu họ vẫn không bị phát hiện, họ sẽ có một con đường trở lại vào trang web.

-Kiểm tra thư mục với các điều khoản lớn hơn 755 (rwxr-xr-x). Hãy chắc chắn rằng bất kỳ điều khoản lỏng hơn là thực sự cần thiết. Trên các hệ thống dựa trên Unix, hãy thử:

  tìm -type d -không -perm 755 exec ls -ld {} ;

-Kiểm tra các tập tin với các điều khoản lớn hơn 644 (rw-r - r--). Một lần nữa, chắc chắn rằng bất kỳ sự cho phép nới lỏng hơn là thực sự cần thiết.

  tìm -type f -không -perm 644 exec ls-la {} ;

6.Nếu bạn có một cơ sở dữ liệu, hồ sơ điều tra một cách kỹ lưỡng nhất có thể. Bạn có thể muốn sử dụng các công cụ như phpMyAdmin cho khả năng hiển thị dễ dàng hơn.

Xác định mục đích của hacker

Các hacker có thể dùng để đánh cắp thông tin bí mật hoặc nhạy cảm từ bạn hay truy cập trang web của bạn, chẳng hạn như với các trang lừa đảo. Trong trường hợp này, hãy kiểm tra các nguồn lực có sẵn tại antiphishing.org .

Có lẽ các hacker đã cố gắng khai thác một trang web tốt để lái xe lưu lượng truy cập đến, hoặc cải thiện thứ hạng của, cô kinh doanh trực tuyến ít có uy tín bằng cách thêm chữ spam hoặc liên kết đến trang web của mình. Trong trường hợp này, hoàn thành Help còn lại cho các trang web bị hack bước, có thể giải quyết vấn đề này.

Cái gì tiếp theo:

Bước 5:. Đánh giá những thiệt hại hiện đang hoàn tất các bước tiếp theo trong quá trình là Bước 6: Xác định các lỗ hổng .