XỬ LÝ SỰ CỐ KHI WEBSITE BỊ NGHI NGỜ HOẶC BỊ LIỆT VÀO DANH SÁCH ĐEN

Khắc phục các triệu chứng danh sách đen
Loại bỏ tệp bị nhiễm
Để thực hiện, hãy xóa hoàn toàn phần mềm độc hại, hoặc bạn có thể chỉnh sửa các tệp này trên máy chủ của mình. Nếu bạn không giỏi điều này, hãy nhờ các chuyên gia làm sạch trang web của bạn.

Thay thế tệp
Nếu bạn sử dụng CMS như WordPress hoặc Joomla, bạn có thể xây dựng lại trang web bằng cách sử dụng các bản sao mới của các tệp lõi và plugin trực tiếp từ các kho lưu trữ chính thức. Các tệp tùy chỉnh có thể được thay thế bằng bản sao lưu gần đây, miễn là tệp đó không bị nhiễm.

Tên miền độc hại và thời gian load trang tải về các trang độc hại
Nếu SiteCheck hoặc Google Webmaster Tools chỉ ra bất kỳ miền hoặc tải trọng độc hại nào, bạn có thể bắt đầu tìm kiếm các tệp đó trên máy chủ của mình. Ngày kiểm tra cũng có thể thu hẹp tìm kiếm của bạn thành các tệp được sửa đổi trong khoảng thời gian đó.

Để xóa thủ công nhiễm phần mềm độc hại khỏi tệp trang web của bạn (KHÔNG phải cơ sở dữ liệu):

- Đăng nhập vào máy chủ của bạn qua SFTP hoặc SSH.
- Tạo một bản sao lưu của trang web trước khi thực hiện các thay đổi.
- Tìm kiếm các tệp của bạn để biết bất kỳ tham chiếu nào đến các miền độc hại hoặc tải trọng mà bạn đã lưu ý.
- Xác định các tệp không quen thuộc hoặc được thay đổi gần đây.
- Khôi phục các tệp đáng ngờ bằng bản sao từ kho lưu trữ chính thức hoặc bản sao lưu sạch.
- Sao chép bất kỳ tùy chỉnh nào được thực hiện cho tệp của bạn.
- Kiểm tra để xác minh trang web vẫn hoạt động sau những thay đổi này.

Bạn cũng có thể tìm kiếm thủ công các hàm PHP độc hại phổ biến, chẳng hạn như eval, base64_decode, gzinflate, preg_replace, str_replace, v.v. Lưu ý rằng các hàm này cũng được plugin sử dụng vì những lý do chính đáng, vì vậy hãy đảm bảo bạn kiểm tra các thay đổi hoặc nhận trợ giúp để tránh phá vỡ trang web của bạn.

Tin tặc thay đổi các trang web độc hại khá thường xuyên để tránh bị phát hiện. Do đó, trang Vấn đề bảo mật của Google có thể đề cập đến các miền độc hại hoặc miền trung gian không còn được tìm thấy trên trang web của bạn vì chúng đã được thay thế bằng các miền mới.

Nếu bạn không thể tìm thấy nội dung "xấu", hãy thử tìm kiếm trên web các tên miền được liệt kê trên trang chẩn đoán. Rất có thể ai đó đã tìm ra cách những tên miền đó liên quan đến phần mềm độc hại trên trang web.

Thận trọng: Việc xóa thủ công mã “độc hại” khỏi tệp trang web của bạn có thể cực kỳ nguy hiểm. Không bao giờ thực hiện bất kỳ hành động nào mà không có bản sao lưu. Nếu bạn không chắc chắn, vui lòng tìm kiếm sự hỗ trợ từ chuyên gia. Không ghi đè lên các tệp cấu hình CMS của bạn. Trên WordPress, điều này bao gồm tệp wp-config.php hoặc wp-content. Trên Joomla, điều này bao gồm tệp tin config.php và các tùy chỉnh.

Làm sạch các bảng cơ sở dữ liệu bị tấn công
Để xóa nhiễm phần mềm độc hại khỏi cơ sở dữ liệu trang web của bạn, hãy sử dụng bảng điều khiển quản trị cơ sở dữ liệu của bạn để kết nối với cơ sở dữ liệu. Trong cPanel, hầu hết các công ty lưu trữ đều cung cấp phpMyAdmin. Bạn cũng có thể sử dụng các công cụ như Search-Replace-DB hoặc Adminer.

Để xóa thủ công phần mềm độc hại khỏi bảng cơ sở dữ liệu của bạn:

Đăng nhập vào bảng quản trị cơ sở dữ liệu của bạn.
Sao lưu cơ sở dữ liệu trước khi thực hiện thay đổi.
Tìm kiếm nội dung đáng ngờ (tức là từ khóa, liên kết spam).
Mở bảng có chứa nội dung đáng ngờ.
Xóa thủ công bất kỳ nội dung đáng ngờ nào.
Kiểm tra để xác minh trang web vẫn hoạt động sau khi thay đổi.
Xóa mọi công cụ truy cập cơ sở dữ liệu mà bạn có thể đã tải lên.
Bảng cơ sở dữ liệu
Ngăn ngừa tái nhiễm
Tin tặc luôn để lại cách để vào lại trang web của bạn. Thông thường, chúng tôi tìm thấy nhiều cửa hậu như người dùng quản trị độc hại hoặc trang web PHP và các lỗ hổng bị bỏ qua khiến trang web của bạn bị đưa vào danh sách đen một lần nữa.

Xem lại tài khoản người dùng
Đừng bỏ qua tài khoản người dùng! Mật khẩu bị đánh cắp có thể cho phép tin tặc xâm nhập trở lại trang web của bạn.

Để xóa tài khoản người dùng của bạn:

Xác nhận tất cả tài khoản người dùng trang web là hợp lệ, bao gồm người dùng CMS, người dùng FTP / SFTP / SSH, bảng quản trị cơ sở dữ liệu (PHPMyAdmin, v.v.), tài khoản cPanel và thông tin đăng nhập của công ty lưu trữ.
Thay đổi tất cả mật khẩu cho tất cả người dùng.
Bật xác thực hai yếu tố (2FA) nếu có sẵn.
Thận trọng: Các chức năng này cũng có thể được sử dụng hợp pháp bởi các plugin, vì vậy hãy đảm bảo kiểm tra mọi thay đổi vì bạn có thể phá vỡ trang web của mình bằng cách xóa các chức năng lành tính. Phần lớn mã độc mà chúng ta thấy sử dụng một số dạng mã hóa để ngăn chặn sự phát hiện. Ngoài các thành phần cao cấp sử dụng mã hóa để bảo vệ cơ chế xác thực của chúng, rất hiếm khi thấy mã hóa trong các tệp CMS chính thức.

Xác định Cửa hậu
Thông thường, backdoor được nhúng trong các tệp có tên tương tự như tệp lõi CMS nhưng nằm trong thư mục sai. Những kẻ tấn công cũng có thể đưa các cửa hậu vào các tệp hợp pháp.

Backdoor thường bao gồm các hàm PHP sau:

base64
str_rot13
gzuncompress
đánh giá
người điều hành
tạo_chức năng
hệ thống
khẳng định
dải băng
preg_replace (với / e /)
move_uploaded_file
Điều quan trọng là tất cả các cửa hậu phải được gỡ bỏ để làm sạch thành công một vụ hack trang web, nếu không, trang web của bạn sẽ nhanh chóng được hoàn thiện lại và bị thêm vào danh sách đen.

Máy tính an toàn
Có thể lây nhiễm từ máy tính sang trang web của bạn bằng cách sử dụng CMS hoặc các ứng dụng truyền tệp. Tất cả các máy tính được sử dụng để truy cập trang web của bạn phải được bảo mật. Yêu cầu tất cả người dùng quét máy tính của họ bằng chương trình chống vi-rút để phát hiện bất kỳ sự lây nhiễm nào.

Dưới đây là một số chương trình chống vi-rút chúng tôi đề xuất:

CÓ PHÍ

BitDefender
Kaspersky
Sophos
F-Secure

MIỄN PHÍ

Malwarebytes
Avast
Cơ bản về Bảo mật của Microsoft
Avira

Lưu ý: Hầu hết các danh sách đen của trình duyệt đều sử dụng API danh sách đen của Google. Để biết thêm thông tin, hãy truy cập trang trợ giúp của Google.

Xem tiếp: Cách thức loại bỏ website ra khỏi danh sách đen (phần tiếp theo)