Hướng dẫn cách phát hiện website bị hack

Theo Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), trong tuần đầu tháng 8/2015, đơn vị đã phát hiện 713 website bị hack có địa chỉ IP tại Việt Nam. Trong đó, có 18 website thuộc các Bộ, ngành, cơ quan nhà nước bị tấn công chiếm quyền điều khiển và thay đổi giao diện. – Nguồn ICTNews.vn

Hơn 700 website bị hack trong một tuần là con số lớn và nghiêm trọng, tương đương với những đợt tấn công lớn từ phía Trung Quốc vào Việt Nam năm 2014. Đây là vấn đề nghiêm trọng và cần có phương án giải quyết triệt để. Rất nhiều website bị hack cho đến nay vẫn chưa khắc phục hoặc có những website bị hack mà quản trị không biết hay nhiều website bị hack đến lần thứ 3, thứ 4 mà vẫn có nguy cơ tiếp tục bị hack. Dưới đây là một số hướng dẫn từ đội phản ứng nhanh (Taskforce Team) của VNIST cho các quản trị website nhằm phát hiện sớm nhất tình trạng website của mình đã hoặc đang bị tấn công để đưa ra phương án khắc phục kịp thời và triệt để.

Những dấu hiệu khi website bị hack?

1. Website bị thay đổi giao diện

Trang chủ hoặc một đường dẫn tới một trang con của website bị tin tặc thay đổi giao diện, xuất hiện nhiều dòng chữ được hacker chèn vào website, kiểu như: “hacked by …”, “God verify…”, “security is low”… Điều đó chứng cho website của bạn đã bị tin tặc hack thành công và chiếm hoàn toàn quyền điều khiển. Một mẹo nhỏ để phát hiện các đường dẫn mà tin tặc gửi lên là bạn có thể tìm kiếm trên Google theo cú pháp như sau: “site.com hacked” (với site.com là tên miền website của bạn).

2. Website của bạn bị chèn các đường dẫn trái phép

Việc hèn các đoạn mã HTML để tăng truy cập cho các website khác, tồn tại nhiều đường dẫn tới các website chứa nội dung đồi trụy, khiêu dâm…

Một cơ quan nhà nước cũng từng bị chèn ảnh sex vào website

Nên thường xuyên và định kỳ kiểm tra các backlink (đường dẫn tới website khác) trên website của mình hoặc thực hiện viewsource của website (Ấn chuột phải trên trang web / chọn viewpage source / Rà soát nội dung nguồn HTML của website để phát hiện đường dẫn lạ).

3. Website của bạn bị chèn các đường dẫn giả mạo

Một số đường dẫn trên website bị chèn các nội dung nhằm giả mạo các website danh tiếng khác (giả mạo website của ngân hàng, giả mạo website giao dịch trực tuyến, giả mạo website Facebook, Gmail…). Các đường dẫn này được sử dụng để lửa đảo và chiếm tài khoản của người dùng.

Trang web vnpi.vn cũng từng bị tin tặc chèn các đường dẫn lừa đảo là trang thanh toán trực tuyến nổi tiếng thế giới: paypal.com.

4. Tự động đăng các tin tức Spam

Trang web của bạn bị tự động đăng các tin tức Spam, các tin tức trái phép lên website.

5. Phát hiện các hành động trái phép

Các hệ thống hay các module giám sát thông báo rằng nhiều tệp tin trên website đã bị thay đổi nội dung. Phát hiện website của mình thường xuyên gửi các yêu cầu HTTP đến các website khác… Phát hiện các tệp tin, đoạn mã độc hại trên website, các tệp tin có chữ nhiều đoạn mã đã được mã hóa.

6. Cảnh báo từ các công ty bảo mật

Bạn nhận được thông báo từ các đơn vị bảo mật, từ SecurityDaily.NET về việc website của bạn bị tấn công, bị hack hay website của bạn được đưa lên các diễn đàn mạng, các trang thông kê các website bị tin tặc hack thành công.

Các website bị tấn công tại một thời điểm trên trang mạng Zone-h.org

Bất cứ website nào cũng có thể bị tấn công vào bất cứ thời điểm nào, điều quan trọng đầu tiên là chúng ta cần hiểu rõ các mối rủi ro tiềm ẩn những ảnh hưởng tới doanh nghiệp, tổ chức, thường xuyên rà soát để phát hiện sớm các nguy cơ, hiện trạng này để đưa ra phương án khắc phục triệt để, tránh bị hack tương tự trong lần tiếp theo. Việc website bị tấn công đối với nhiêu doanh nghiệp, tổ chức là rất ảnh hưởng, ảnh hưởng uy tín, tiền bạc và sự tin tưởng của khách hàng.

Tran Quang Chien

http://securitydaily.net/author/quangchien

Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.