Tóm Tắt
Gần đây nhiều website chính phủ, doanh nghiệp bị các đối tượng SEO mũ đen chèn các liên kết ẩn, chuyển hướng đến các website cá độ, cờ bạc, sex và nhiều nội dung nhạy cảm khác.
Dẫn đến ảnh hưởng thương hiệu với khách hàng, cũng như thứ hạng website trên Google mà không biết cách xử lý như thế nào, cứ bị tái đi tái lại.
Nguyên nhân các website bị tấn công
Các website bị tấn công đa phần là các website sử dụng mã nguồn ASP.NET (.NET Framework) chạy trên máy chủ hệ điều hành Win server và sử dụng dịch vụ web IIS (Microsoft Internet Information Services)
Lỗi bảo mật này có thể tìm thấy các công bố lổ hổng bảo mật trên mạng như: CVE-2021-27065, CVE-2021-26855
Các phương thức tấn công bao gồm:
Backdoor: Cho phép kẻ xâm nhập từ xa kiểm soát các máy chủ đã cài đặt IIS.
Infostealer: Cung cấp khả năng cho tin tặc ngăn chặn truy cập giữa máy chủ và người dùng để lấy cắp thông tin như thông tin đăng nhập, cookie/phiên làm việc, thông tin thanh toán, tài khoản ngân hàng, ...
Injector: Mã độc thay đổi gói tin trả về cho người dùng để cung cấp nội dung có hại.
Proxy: Biến máy chủ IIS bị nhiễm thành một phần của hệ thống Điều khiển & Kiểm soát (Command & Control), qua đó tận dụng máy chủ IIS để trung chuyển giao tiếp giữa nạn nhân và máy chủ Điều khiển & Kiểm soát.
SEOFraud: Mã độc sửa đổi nội dung được cung cấp cho các công cụ tìm kiếm để can thiệp vào thuật toán SERP và tăng xếp hạng cho các trang web được lựa chọn.
Ảnh: Mô tả cách thức hoạt động
Virus chèn link ẩn cá độ
Virus có nhiều mục đích khai thác khác nhau, việc chèn link ẩn được trong giới Underground gọi là SEOFraud.
Loại virus này rất khó phát hiện chúng rải ở khắp nơi trong hệ thống khi đã thâm nhập được.
Các website bị tấn công thay đổi kết quả tìm kiếm trên Google nhằm mục đích tăng thứ hạng tìm kiếm cho các website khác/
Ảnh 1: Các website GOV chính phủ
Ảnh 2: Web giáo dục
Ảnh 3: Web chính phủ, nhà nước
Ảnh 5: Website doanh nghiệp
Nguyên nhân dẫn đến lỗi bảo mật
Nguyên nhân dẫn đến các lỗi bảo mật trên thông thường nằm ở các vấn đề sau:
1. Sử dụng các file cài đặt hệ điều hành ISO không rõ nguồn gốc, được share trên mạng
2. Sử dụng các phần mềm Crack , phần mềm lậu cài vào máy chủ
3. Sử dụng mã nguồn/giao diện được chia sẻ trên mạng bị chèn Backdoor sẳn
5. Bị lây lan từ các website chạy chung máy chủ, share hosting hoặc các đơn vị cung cấp máy chủ không chất lượng
6. Lỗi bảo mật SQL Injection, XSS và các lỗi bảo mật khác dẫn đến hacker có thể chèn webshell, backdoor vào trực tiếp máy chủ của bạn.
Ngoài ra cồn nhiều nguyên nhân khác nữa phải tuỳ vấn đề mới có thể xác định chính xác để xử lý được.
Dấu hiệu nhận biết website bị virus chèn link cá độ chuyển hướng
Bạn cần có nhân sự theo dõi server máy chủ hoặc Google Search Console để biết website của bạn có vấn gì về bảo mật hay không. Đối với các kiểu tấn công nhằm vào mục đích SEOFraud thì các liên kết lạ sẽ được Google thống kê vào công cụ Google Search Console hoặc là bạn phải quản lý kết quả tìm kiếm của website trên Google hằng ngày.
Quản lý truy cập máy chủ, Access Log để phát hiện các truy cập độc hại, liên tục, các IP đáng ngờ vào các file lạ trên hệ thống, rất có thể đó là Webshell.
Cách xử lý khắc phục
Mã độc IIS là một loại mã độc nguy hiểm, khó phát hiện và ít được biết đến, tuy nhiên ảnh hưởng và tác động của nó đối với hệ thống là rất nghiêm trọng. Kể từ năm 2018, sự phát triển nhanh chóng của mã độc này đã khiến một số nhóm tấn công bắt đầu lợi dụng nó để xâm nhập vào nhiều máy chủ Exchange trên toàn cầu, gây ra thiệt hại lớn về tài sản và mất mát dữ liệu không thể khôi phục.
Chiến dịch tấn công này đạt mức độ nguy hiểm cao, sử dụng các kỹ thuật mới, tinh vi và khó phát hiện để thực hiện việc thu thập và đánh cắp dữ liệu và thông tin tài khoản một cách âm thầm.
Với khả năng tận dụng lỗ hổng IIS để xâm nhập dễ dàng, LPTECH khuyến nghị cho các tổ chức tăng cường cảnh giác, khắc phục lỗ hổng IIS còn tồn tại trên hệ thống của họ và theo dõi các chỉ số IOC của chiến dịch để phát hiện kịp thời nguy cơ mất mát dữ liệu quan trọng.
Nếu Website của đơn vị các bạn đang gặp vấn đề hãy liên hệ với LPTECH để được hỗ trợ đánh giá và xử lý khắc phục.
LP TECHNOLOGY ELECTRONIC COMMERCE COMPANY LIMITED
Giấy phép kinh doanh số 0315561312/GP bởi Sở Kế Hoạch và Đầu Tư TP. Hồ Chí Minh.
Văn phòng: Lầu 4, Toà nhà Lê Trí, 164 Phan Văn Trị, Phường 12,Quận Bình Thạnh, HCMC
Hotline: 0338 586 864
Mail: sales@lptech.asia
Zalo: LP Tech Zalo Official