Hướng dẫn sửa lỗi website bị hack sang tiếng Nhật

Bài hướng dẫn này được tạo ra cụ thể cho loại hack tạo ra những dòng chữ Nhật Bản tự động được tạo ra trên trang web của bạn, cái mà chúng tôi gọi là hack từ khoá Nhật Bản. Nó được thiết kế cho những người dùng của Content Management Systems (CMSs), nhưng bạn sẽ thấy được hướng dẫn này hữu dụng ngay cả khi bạn không sử dụng CMS.

Chú ý: Nếu bạn không chắc là trang của bạn có bị hack hay không? Hãy bắt đầu bằng cách đọc hướng dẫn làm thế nào để kiểm tra trang của bạn có bị hack hay không của chúng tôi.

Xác định loại hack này

Hack từ khoá Nhật Bản chỉ là tạo một vài trang mới với những dòng chữ tiếng Nhật tự động tạo ra trên trang của bạn một cách ngẫu nhiên tạo ra các Directory Names (ví dụ, http://example.com/ltjmnjp/341.html). Những trang này tạo ra với mục đích kiếm tiền sử dụng những liên kết nhánh để lưu trữ dữ liệu về những đơn hàng giả tạo và sau đó hiện thị trên Google Search. Dưới đây là một ví dụ của loại trang web bị hack:

​

Bắt đầu việc kiểm tra với công cụ Security Issues trong Search Console để xem coi liệu Google có phát hiện ra được bất cứ loại hack nào trên trang của bạn hay không. Bạn cũng có thể xem những trang như thế bằng cách mở Google Search lên và tìm kiếm như thế này site:[your site root URL]. Cách nàu sẽ cho bạn thấy những trang mà Google đã lập chỉ mục cho trang của bạn, bao gồm cả những trang đã bị hack. Hãy xem qua một vài trang trang kết quả tìm kiếm xem bạn có thấy bất kì URL thất thường nào không. Nếu bạn không thấy bất cứ nội dung bị hack nào trong Google Search, hãy sự dụng chính xác cụm từ bạn vừa mới tím kiếm đó với một công cụ tìm kiếm khác. Những công cụ tìm kiếm khác có thể hiển thị nội dụng bị hack mà Google đã loại bỏ khỏi chỉ mục. Ban có thể xem ví dụ bên dưới để có thể dễ dàng tưởng tượng hơn:

​

Bạn có thể dễ dàng thấy được rằng những kết quả tìm kiếm ở đây chứa nhiều trang không được tạo bởi đích thân chủ trang web. Nếu bạn nhìn kĩ vào phần mô tả, bạn sẽ thấy những ví dụ về những dòng chữ tiếng Nhật mà loại hack này tạo ra.

Khi bạn truy cập vào một trang bị hack, bạn sẽ thấy một tin nhắn cho thấy rằng trang web này không tồn tại (ví dụ, Lỗi “404 error”). Đừng ngốc như thế! Các hacker sẽ cố gắng lừa bạn suy nghĩ rằng trang của bạn đã được sửa bằng cách làm cho bạn tin rằng những trang bị hack đã biến mất hoặc đã được sửa. Họ làm điều này bằng cách ẩn nội dung đi. Kiểm tra những nội dung bị ẩn bằng cách nhập URL trang của bạn vào công cụ Fetch as Google của Search Console. Công cụ Fetch as Google này sẽ cho phép bạn thấy được những nội dung đã bị ẩn.

Sửa lỗi hack

Trước khi bạn bắt đầu, hãy tạo một bản copy ngoại tuyến cho bất cứ tập tin nào của bạn trước khi bạn loại bỏ chúng, cho trường hợp bạn cần phải khôi phục chúng sau này. Tốt hơn là lưu lại toàn bộ trang cảu bạn trước khi bạn bắt đầu quá trình dọn dẹp. bạn có thể làm điều này bằng cách lưu lại tất cả các tập tin trên server của bạn sang một địa điểm ngoài server hay tìm kiếm lựa chọn chế độ lưu trữ tốt nhất cho Content Management System (CMS) cụ thể của bạn. Nếu bạn đang sử dụng một CMS, bạn cũng nên lưu lại cả kho dữ liệu nữa.

Loại bỏ những tài khoản được tạo mới từ Search Console

Nếu một người chủ mới mà bạn không nhận ra được thêm vào trong tài khoản Search Console của bạn, thu hồi lại quyền try cập của họ ngay lập tức. Bạn có thể kiểm tra người dùng nào được xác nhận cho trang của bạn trên trang xác minh của Search Console. Click vào “Verification Details” của trang để xem tất cả những người dùng được xác minh.

Để loại bỏ một người từ Search Console, đọc qua phần Remove Owner nằm trong Managing users, owners, and permissions của Help Center. Bạn sẽ cần phải loại bỏ dấu hiệu xác minh liên kết, thông thường sẽ là một tập tin HTML trong trang của bạn hay một tập tin .htaccess được tạo ra một các ngẫu nhiên để bắt chước tập tin HTML.

Nếu bạn không thể tim ra một dấu hiện xác minh HTML trên trang của bạn, kiểm tra và viết lại luật trong tập tin .htaccess. Bản viết lại sẽ trông tương tự như thế này:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Chú ý: Bạn có thể kiểm tra rằng bạn đã loại bỏ thành công dấu hiệu xác mình liên kết được tạo ra ngẫu nhiên bằng cách hướng đến một tập tin xác minh như sau wwww.example.com/google[random number and letters].html. Ví dụ, nếu trang của bạn là www.brandonsbaseballcards.com, đang cố gắng hướng đến www.brandonsbaseballcards.com/google1234.html. Nếu trang đó trả về lỗi HTTP 404, thì bạn sẽ biết rằng dấu hiện đó đã được sửa.

Để loại bỏ dấu hiệu xác minh được tạo ra ngẫu nhiên từ tập tin .htaccess của bạn, làm theo những bước sau:

Kiểm tra tập tin .htaccess (2 bước)

Ngoài việc sử dụng tập tin .htaccess để tạo những dấu hiệu xác minh tự tạo ngẫu nhiên, các hacker thường dùng những quy luật .htaccess để tái định hướng người dùng hay tạo ra những trang web spam vô nghĩa. Trừ khi bạn có nhữngquy luật .htaccess riêng, hãy cân nhắc việc thay đổi .htaccess của bạn sang một bản mới hoàn toàn.

Bước 1

Xác định vị trí của tập tin .htaccess trên trang của bạn. Nếu bạn không biết tìm nó ở đâu, và bạn đang dùng một CMS như là WordPress, Joomla, hay Drupal để tìm kiếm “.htaccess file location” trong công cụ tìm kiếm cùng với tên CMS của bạn. Phụ thuộc vào trang của bạn, bạn có thể có nhiều tập tin .htaccess khác nhau. Hãy tạo một danh sách tất cả các .htaccess file location.

Bước 2

Thay thế tất cả những tập tin .htaccess với một phiên bản sạch sẽ và mặc định của tập tin .htaccess. Bạn có thể dễ dàng tìm thấy phiên bản mạc định của tập tin .htaccess bằng cách tìm tiếm “default .htaccess file” và tên CMS của bạn. Đối với các trang với nhiều tập tin .htaccess, tìm một phiên bản sạch sẽ của từng cái và thực hiện thao tác thay thế.

Chú ý: Tập tin .htaccess thường là một tập tin ẩn. Bạn phải chắc chắn rằng bạn đã chọn hiển thị các tập tin ẩn khi bạn tìm kiếm chúng.

 

Loại bỏ tất cả những tập tin và dòng lệnh độc (4 bước)

Việc xác định các tập tin độc có thể khá là khó khăn và mất vài giờ đồng hồ. Bạn cứ từ từ và làm thật kĩ khi kiểm tra những tập tin này. Nếu bạn chưa kiểm tra chúng, thì bây giờ là thời gian tốt để lưu lại những tập tin trên trang của bạn. Hãy dùng Google Search để tìm kiếm “backup site” và tên CMS của bạn để tìm những hướng dẫn về cách làm sao lưu lại trăng của bạn.

Bước 1

Nếu bạn sử dụng một CMS, cài đặt lại tất cả từ các tập tin mặc định được cài đặt sẵn trong CMS cho bạn. Điều này giúp đảm bảo rằng các trang web sạch sẽ khỏi những nội dung bị hack. Bạn có thể sử dụng Google Search cho việc phục hồi và tên CMS của bạn để tìm những hướng dẫn cho quá trình phục hồi của bạn. Nếu bạn có bất cứ plugin, module, phần mở rộng, hay chủ đề nào, thì hãy chắc chắn rằng bạn cũng phục hồi tất cả chúng.

Việc phục hồi những tập tin mặc định của bạn có thể khiến cho bạn mất đi những sự cá nhân hoá mà bạn đã làm nếu bạn chỉnh sửa các tập tin một cách trực tiếp. Chắc chắn rằng bạn đã tạo một tập tin backup cho dữ liệu và tất cả cá tập tin trước khi bạn thực hiện quá trình phục hồi.

Bước 2

Các hacker sẽ thường chỉnh sửa sitemap của bạn và thêm vào những sitemap mới để giúp các URL được lập chỉ mục nhanh hơn. Nếu trước đây bạn đã có một tập tin sitemap, kiểm tra xem tập tin với bất cứ đường link đáng nghi ngờ nào và loại bỏ chúng khỏi sitemap của bạn ngay. Nếu có bất cứ tập tin nào mà bạn không nhớ là bạn đã thêm chúng vào trong trang của mình, kiểm tra chúng lại lần nữa và loại bỏ chcúng nếu chúng chỉ chữa những URL spam.

Bước 3

Tìm kiếm bất kì những tập tin độc còn sót lại, bạn có thể đã loại bỏ hết tất cả những tập tin độc trong 2 bước trước, nhưng tốt nhất là kiểm tra lại một lần nữa trong trường hợp vẫn còn tập tin trên trang của bạn mà chúng đã được dàn xếp để ẩn mình ở đó.

Đừng bị ngợp bởi việc suy nghĩ bạn cần phải mở và tìm kiếm từng tập tin PHP một. Hãy bắt đầu bằng việc tạo một danh sách những tập tin PHP đáng nghi ngờ mà bạn muốn điều tra. Dưới đây là một vài cách để xác định tập tin PHP nào là đáng nghi ngờ:

- Kể từ khi bạn tải lại các tập tin CMS, chỉ tìm những tập tin không phải là một phần của các tập tin hay thư mục CMS mặc định của bạn. Điều này sẽ loại bỏ một lượng lớn các tập tin PHP và để lại cho bạn một số lượng tập tin vừa đủ để bạn sử dụng.

- Phân loại các tập tin trên trang của bạn theo ngày chỉnh sửa gần nhất. Tìm những tập tin được chỉnh sửa trong vòng một vài tháng mà bạn phát hiện trang của bạn bị hack vào thời gian đó.

- Phân loại các tập tin trên trang của bạn theo kích thước. Tìm kiếm bất cứ những tập tin có kích thước lớn bất thường.

Chú ý: Các kẻ tấn công thường sẽ tiếm những mã độc vào các loại tập tin sau: index.php, wp-load.php, 404.php, và view.php.​

Bước 4

Khi bạn đã có một danh sách những tập tin PHP đáng nghi ngờ, hãy kiểm tra xem chúng có độc hại đến trang của bạn hay không. Nếu bạn không quen với PHP, quá trình này có lẽ sẽ tốn nhiều thời gian hơn, thế nên hãy cân nhắc đến việc lọc trước danh sách của bạn. Nếu bạn hoàn toàn là lính mới trong lĩnh vực viết code, chúng tôi khuyên bạn nên nhờ sự trợ giúp. Cùng lúc đó, có một số các mẫu cơ bản mà bạn có thể tìm và xác định những tập tin độc.

Nếu bạn sử dụng CMS, và bạn không có thói quen chỉnh sửa những tập tin như thế này một cách trực tiếp, so sánh những tập tin trên máy chủ của ban với danh sách những tập tin mặc định được bao gồm trong CMS và bất cứ plugin và chủ đề nào. Tìm những tập tin không thuộc về trang web, cũng như là những tập tin có kích thước lớn hơn so với các tập tin mặc định.

Duyệt qua các tập tin đáng ngờ mà bạn đã xác định để khoá lại những kỹ thuật làm rối code. Kỹ thuật làm rối code thông thường sẽ xuất hiện trước một tập hợp các chức năng PHP như là base64_decode, rot13, eval, strrev, gzinflate, mặc dù đôi lúc ngay cả những chức năng này còn bị rối. Dưới đây là ví dụ của đoạn mã khoá sẽ trông như thế nào. Đôi lúc tất cả những dòng code dưới này sẽ được thu gọn lại vào một đoạn chữ, giúp cho nó trông gọn hơn:


$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70 %78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Kiểm tra xem trang của bạn đã sạch chưa

Khi bạn đã loại bỏ những tập tin bị hack, hãy kiểm tra xem liệu công sức của bạn bỏ ra có sức đáng không nhé. Hãy nhớ những trang vô nghĩa mà bạn đã tìm ra trước đây? Sử dụng công cụ Fetch as Google để kiểm tra chúng một lần nữa để xem liệu còn có bất cứ trang nào như thế tồn tại hay không. Nếu họ phản hồi lại là “Not Found” trong công cụ Fetch as Google, thì chắc là trang của bạn đang khá tốt rồi đấy!

Bạn cũng có thể theo dõi những bước thục hiẹn trên Hacked Sites Troubleshooter để kiểm tra liệu rằng vẫn còn những nội dung bị hack trong trang của bạn không.

Làm thế nào để ngăn chặn việc trang của bạn bị hack lần nữa?

Sữa những yếu tố dễ bị xâm phạm trên trang của bạn là bước cần thiết cuối cùng trong việc sửa chữa trang của bạn. Một cuộc nghiên cứu gần đây cho thấy rằng 12% ác trang bị hack sẽ bị hack trở lại trong vòng 30 ngày. Biết chính xác trang của bạn bị hack như thế nào sẽ rất có ích cho bạn. Hãy đọc hướng dẫn top những cách mà các trang web thường bị hack bởi các kẻ đi spam để bắt đầu cuộc điều tra của bạn. Tuy nhiên, nếu bạn không thể tìm ra lý do vì sao trang của bạn bị hack, dưới đây là checklist những thứ bạn cần làm để giảm bớt những yếu tố dễ dàng bị xâm phạm trên trang của bạn.

- Thường xuyên duyệt máy tính của bạn: Sử dụng những phần mềm duyệt virus uy tín để kiểm tra.

- Thường xuyên thay đổi mật khẩu của bạn: thường xuyên thay đổi mất khẩu cho tất cả các tài khoản trang web như là nhà cung cấp hosting cho bạn, FTP và CMS có thể giúp bạn ngăn chặn những truy cập không được uỷ quyền vào trang của bạn. Việc tạo ra được một mật khẩu thật mạnh và độc nhất cho từng tài khoản là vô cùng quan trọng.

- Sử dụng bảo mật 2 tầng (2FA): Hãy cân nhắc đến việc bảo mật 2 tầng cho bất cứ thiết bị nào của bạn. 2FA khiến cho các hacker gặp nhiều khó khăn hơn sau khi họ đã lấy được mật khẩu của bạn thành công.

- Cập nhật CMS, plugin, phần mở rộng và module của bạn thường xuyên: Hi vọng rằng bạn đã hoàn thành bước này. Nhiều trang bị hack bởi vì những phần mềm lỗi thời đang chạy trến trang của họ. Một vài CMS hỗ trợ việc cập nhật tự động.

- Cân nhắc việc đăng kí dịch vụ bảo về để giám sát trang của bạn: Có rất nhiều dịch vụ tuyệt vời ngoài kia có thể giúp bạn giám sát trang cảu mình với chi phí rất thấp. Hãy cân nhắc việc đăng kí với họ để giữ cho trnag của bạn an toàn.​

Những nguồn khác

Nếu bạn vẫn gặp vấn đề trong việc sửa chữa trang của mình, dưới đây là một vài nguồn có thể giúp bạn.

Những công cụ này duyệt trang của bạn và có thể tìm ra những nọi dung có vấn đề. Đừng sử dụng VirusTotal, Google không chạy và hỗ trợ họ.

Virus Total, Aw-snap.info, Securi Site Check, Quttera: Có một vài công cụ có thể duyệt trang của bạn để tìm ra những nội dung có vấn đề. Hãy nhớ rằng các công cụ này không thể đảm bảo rằng họ sẽ tìm ra tất cả những nội dung có vấn đề.

Dưới đây là một vài các nguồn từ Google có thể giúp bạn:

- Google Webmaster Help Forum
- Google Webmaster Help for Hacked Sites
- Google SafeBrowsing​

Bài viết được dịch và đăng tải bởi điễn đàn IDVS,
Nguồn bài viết từ: https://developers.google.com/webmasters/hacked/docs/fixing_the_japanese_keyword_hack

 

Cảm ơn admin đã có bài hướng dẫn công phu. Mấy ngày rồi thấy nhiều ae lên gruoup than thở về tình trạng hack site tiếng nhật này

 

Cảm ơn ban đã có bài hướng dẫn đầy đủ. nhiều ngày rồi thấy nhiều anh em lên gruoup than thở về tình trạng hack site tiếng nhật này...thật là khó

 

cảm ơn thớt nhiều, cái này cũng đã đọc qua nhưng chỉ có tiếng anh, nay dịch tiếng việt rất thấy ok

 

đã làm và ko thành công nên dùng dịch vụ bên quocbb. com luôn cho nhanh
........................................................................................................................
đã làm và ko thành công nên dùng dịch vụ bên quocbb. com luôn cho nhanh

 

đang tự pr cho mình à bác, làm ơn bớt bớt spam đi, làm seo như thế nát hết cả 1 cộng đồng seo

 

Nếu dùng site trên VPS thì cần biết một số dòng lệnh xem tiến trình nào thực thi chiếm CPU nhiều nhất rồi theo bài chủ thớt để xứ lý thì cũng ổn cũng kỹ thuật host.

 

khá nhiều người bị lỗi website bị hack sang tiếng nhật bỏi vậy cần có những bài chia sẻ về cách xử lý như này

 

đôi khi làm cũng bị lỗi như này cảm ơn bác đã chia sẻ cho ace.chúc bác có thành công như mong muốn