Dấu hiệu nhận biết và nguyên nhân website bị hack

Hầu hết các website ở Việt Nam, tỉ lệ website sử dụng wordpress chiếm % khá cao. Và thường những website này dễ bị hack vì độ phổ biến, kèm mã nguồn quen thuộc. Các website này một khi bị hack thì có thể nhận biết ngay hoặc thông qua việc kiểm tra mới phát hiện ra được.

Những dấu hiệu phổ biến nhận biết website của bạn đã bị hack

1. Hiển thị thông báo website đã bị hack

Dấu hiệu dễ nhận biết nhất là thông báo website đã bị hack, nội dung website hiển thị không như thông thường. Thay vào đó là một giao diện mới, hình ảnh đầu lâu, cướp biển, hay text khác thông báo rằng bị hack bởi ai đó.

2. Hiển thị popup, quảng cáo, chuyển hướng

Khi vào website tự dưng hiển thị những quảng cáo, không biết từ đâu hoặc mở ra một tab popup mới quảng cáo cái gì đó. Một số trường hợp thì bị chuyển hướng đến một đường dẫn khác, nhưng thường chỉ khi truy cập trên di động.

3. Thông báo trên trình duyệt

Một số website khi truy cập trên chrome, firefox thì trình duyệt sẽ hiển thị thông báo màu đỏ, báo cho người dùng rằng website chứa phần mềm hay mã độc. Ngăn chặn người dùng truy cập.

4. Trên công cụ tìm kiếm

Khi tìm kiếm trên google thường sẽ thấy những nội dung lạ, những đường link bạn chưa từng thấy. Thường gặp nhất ở đây là bị hack chèn kí tự, các đường link tiếng Nhật.

5. Không truy cập được vào website

Khi website bị hack có thể không truy cập được vào trang chủ, hay trang quản trị. Thông thường thì có thể thay đổi về mã nguồn, xóa file, hoặc bị thay đổi mật khẩu trang quản trị.

6. Website có những dấu hiệu lạ

Khi vào website đôi khi phát hiện có thêm những bài viết mới, hay thành viên mới trong phần quản trị. Thỉnh thoảng sẽ có người hack vào để chèn link vào bài viết hay các phần khác. Ngoài ra trong phần code sẽ tự sinh ra các file php, hình ảnh xóa đi nhưng vẫn sinh ra.

7. Đối với VPS

Với về phần sever của máy chủ, sẽ có những tình huống xảy ra như sau:

• Phát hiện những process chạy mới trong máy ảo, các process này thực thi một nhiệm vụ nào đó, nhưng đào coin..
• Xuất hiện những crontab chạy theo thời gian
• Gia tăng số lượng file logs báo lỗi, lâu dần làm sever full disk sẽ lỗi.
• Ăn thêm tài nguyên CPU, Ram mặc dù chạy rất ít.

8. Mã nguồn và database

Đối với mã nguồn thì trong hệ thống sẽ tự động chèn thêm các đoạn code được mã hóa dạng base64 rồi dùng các hàm : base64_decode, eval để thực thi. Các đoạn mã nguồn này được phát sinh tự động, phân tán, nếu bạn xóa đi có thể xuất hiện trở lại.

Với database thì thay vì thêm code vào file mã nguồn, thì với một số người hack cao tay hơn họ sẽ tác động lên database thêm các đoạn data, khi show dữ liệu sẽ tự thực thi. Thường thì với database phổ biến nhất là thêm thẻ script hay iframe.

Các nguyên nhân website bị hack

Nói về nguyên nhân thì có rất nhiều dẫn đến website của bạn hị hack, mình sẽ đưa ra vài nguyên nhân để bạn kiểm tra:

1. Đối với máy chủ

Thường thì đối với các VPS chạy hệ điều hành, cài đặt lên đó các webservices để chạy website sẽ có các tình huống sau:

• Hệ điều hành , ứng dụng không thường xuyên cập nhật sẽ dẫn đến lỗi bảo mật. Hacker sẽ thông qua lỗi bảo mật đó truy cập vào được.
• Mật khẩu tài khoản root / sudo quá đơn giản, không giới hạn số lần login nên dẫn đến hacker dò mật khẩu.
• Đôi khi với những website bị nhiễm, không được cô lập sẽ dẫn đến local attack.
• Không phân quyền file, thư mục đúng, dẫn đến có quyền upload, thực thi file.

2. Đối với website

Tương tự đối với website sẽ có các nguyên nhân sau:

• Không cập nhật core, themes, plugins thường xuyên, đôi khi các plugins, theme đó dính lỗi bảo mật và bị tận dụng.
• Sử dụng themes, plugins nguồn gốc không rõ ràng, bản null bị chèn shell.
• Lỗi bảo mật từ code, database do người lập trình.
• Mật khẩu quá đơn giản dẫn đến bị scan mà không giới hạn số lần đăng nhập, chặn user, user có quyền đăng nhập upload file.

Kết luận

Đây là những gì bản thân mình biết về những dấu hiệu nhận biết website bị hack và những nguyên nhân.