home

หน้าแรก
 Computer >> คอมพิวเตอร์ >  >> ระบบเครือข่าย >> ความปลอดภัยของเครือข่าย

วิธีการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก? ทำ DIY เพื่อแก้ไขเว็บไซต์ที่ถูกแฮ็ก

การรักษาความปลอดภัยของเว็บไซต์มีบทบาทสำคัญในการขยายธุรกิจออนไลน์ใดๆ ในช่วงไม่กี่ปีที่ผ่านมา การโจมตีทางไซเบอร์ได้เพิ่มสูงขึ้นด้วยแรนซัมแวร์และตัวขุดคริปโตรูปแบบใหม่ที่ถูกค้นพบในทุกเดือน ซึ่งหมายความว่าธุรกิจขนาดเล็กจำเป็นต้องจ่ายเงินเพิ่มเพื่อรักษาธุรกิจออนไลน์ของตนให้ปลอดภัยและสำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก จากรายงานของ Juniper Research

ตามรายงานอาชญากรรมประจำปีอีกฉบับโดย Cybersecurity Ventures

เมื่อเร็วๆ นี้ มีเว็บไซต์มากกว่า 4,600 แห่งโดนรหัสที่เป็นอันตรายซึ่งขโมยข้อมูลการชำระเงินและข้อมูลผู้ใช้อื่นๆ ไซต์ที่ถูกบุกรุก ได้แก่ ร้านค้าอีคอมเมิร์ซ บล็อก ไซต์อีเลิร์นนิง มัลแวร์ติดไวรัสไซต์โดยใช้ CDN ของ Picreel และ Alpaca Form ข้อมูลบัตรเครดิตที่ถูกขโมยกำลังถูกส่งไปยังเซิร์ฟเวอร์ในปานามา ซอร์สโค้ดของมัลแวร์เปิดเผยฟังก์ชันต่างๆ ที่ประกาศไว้ในมัลแวร์ซึ่งช่วยในการรวบรวมและส่งต่อข้อมูล เว็บไซต์มากกว่า 1200 แห่งยังคงติดมัลแวร์ Picreel และเว็บไซต์มากกว่า 3700 แห่งยังคงมีรหัสจากการละเมิด Alpaca

ด้วยมัลแวร์ที่มีความซับซ้อนมากขึ้นเรื่อยๆ ปรากฏขึ้นทุกวัน จึงเป็นเพียงเรื่องของเวลาก่อนที่เว็บไซต์ของคุณอาจกลายเป็นเหยื่อรายต่อไป ดังนั้น การเรียนรู้การซ่อมแซมเว็บไซต์ที่ถูกแฮ็กและดำเนินมาตรการป้องกันจึงเป็นสิ่งสำคัญ

การซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก:อาการของเว็บไซต์ที่ถูกแฮ็ก

  • ลิงก์ ไฟล์ ผู้ดูแลระบบ หน้าเว็บ ตาราง สคริปต์ที่น่าสงสัยและไม่รู้จักปรากฏบนเว็บไซต์ของคุณ
  • ป๊อปอัปและโฆษณาที่เปลี่ยนเส้นทางลูกค้าไปยังโดเมนที่ไม่เหมาะสมทำให้เว็บไซต์ของคุณติดเชื้อ
  • เว็บไซต์ทำงานช้าและไม่ตอบสนอง
  • โหลดหนักบนเซิร์ฟเวอร์แม้ว่าการเชื่อมต่อจะน้อยมาก
  • ผู้ใช้บ่นเกี่ยวกับข้อมูลบัตรเครดิตที่ถูกขโมยจากเว็บไซต์ของคุณ
  • เนื้อหาที่ไม่มีความหมายปรากฏบนไซต์ของคุณอันเป็นผลมาจากการแฮ็กคำสำคัญภาษาญี่ปุ่นหรือ Pharma Hack
  • ในขณะที่ใช้โฮสติ้งบุคคลที่สาม บัญชีของคุณจะถูกแบนหรือปิดใช้งาน
  • เครื่องมือค้นหาเตือนผู้ใช้ไม่ให้เข้าชมเว็บไซต์ของคุณ
  • รหัสผ่านเว็บไซต์ของคุณมีการเปลี่ยนแปลงและบันทึกแสดงความพยายามในการบันทึกแบบเดรัจฉาน
  • ติดตั้งปลั๊กอินและส่วนขยายที่ไม่รู้จักบนเซิร์ฟเวอร์ของคุณ
  • ส่งอีเมลสแปมหลายฉบับจากเซิร์ฟเวอร์อีเมลของเว็บไซต์ของคุณ
  • ข้อมูลของเว็บไซต์มีการขายในฟอรัมอินเทอร์เน็ต
  • บันทึกการเข้าชมจาก Wireshark หรือเครื่องมือดักจับแพ็กเก็ตอื่น ๆ จะแสดงข้อมูลที่ถูกส่งไปยังโดเมนที่น่าสงสัย

การซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก:การลบมัลแวร์

  • ขั้นตอนที่ 1: สำรองข้อมูลเว็บไซต์ของคุณอย่างสมบูรณ์ หลังจากนั้น ให้เว็บไซต์ของคุณเข้าสู่โหมดบำรุงรักษา
  • ขั้นตอนที่ 2: ตอนนี้มองหาแหล่งที่มาของการติดเชื้อ อาจเป็นสคริปต์ ไฟล์ หรือหน้าเว็บก็ได้ ดูซอร์สโค้ดเพื่อกำหนดการเข้ารหัส base64 อย่าลืมตรวจสอบปลั๊กอินหรือส่วนขยายใหม่
  • ขั้นตอนที่ 3: หากเว็บไซต์ถูกขึ้นบัญชีดำโดยเครื่องมือค้นหา ให้ใช้คอนโซลของ Google เพื่อดูสาเหตุของการติดไวรัส นอกจากนี้ อย่าลืมลบผู้ดูแลระบบที่ไม่รู้จัก ถ้ายังไม่สำเร็จ ให้ใช้โปรแกรมสแกนไวรัสออนไลน์อย่าง Astra
  • ขั้นตอนที่ 4: ลบบรรทัดของโค้ดที่เป็นอันตรายออกจากไฟล์ที่ติดไวรัส ลบตารางที่น่าสงสัยออกจากฐานข้อมูล หากเป็นไฟล์ที่ละเอียดอ่อนและคุณไม่แน่ใจว่าโค้ดดังกล่าวใช้ทำอะไร เพียงแสดงความคิดเห็นและติดต่อเพื่อขอความช่วยเหลือ
  • ขั้นตอนที่ 5: เมื่อทำความสะอาดเสร็จแล้ว อย่าลืมส่งไซต์ของคุณให้ Google เพื่อลบบัญชีดำ นอกจากนี้ จำเป็นต้องระบุสาเหตุของการแฮ็กและแก้ไขเพื่อไม่ให้เกิดการติดเชื้อซ้ำ ดูกราฟข้อมูลด้านล่างสำหรับข้อมูลเพิ่มเติม
วิธีการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก? ทำ DIY เพื่อแก้ไขเว็บไซต์ที่ถูกแฮ็ก

แม้ว่าขั้นตอนเหล่านี้จะเป็นขั้นตอนการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กทั่วไป แต่คำแนะนำในการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กของ CMS นั้นแสดงไว้ด้านล่าง

หากต้องการความช่วยเหลือเกี่ยวกับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กของคุณ ทำความสะอาดเว็บไซต์ของคุณทันที

การกำจัดมัลแวร์ OpenCart

ในการระบุแหล่งที่มาของการติดไวรัส ผู้ใช้ OpenCart ควรตรวจสอบความสมบูรณ์ของไฟล์หลัก นี่หมายความว่าไฟล์หลักของ OpenCart ไม่ควรแตกต่างจากที่มีอยู่ในเอกสารอย่างเป็นทางการ เว้นแต่จะได้รับการแก้ไข OCMOD/VQMOD ด้วยเหตุผลที่ถูกต้อง สามารถทำได้โดยใช้ 'diff' คำสั่งของลินุกซ์ ดาวน์โหลดไฟล์จากที่เก็บอย่างเป็นทางการไปยังโฟลเดอร์ในเครื่อง แล้วเปรียบเทียบโดยใช้คำสั่งต่อไปนี้:

diff -r path/to/OpenCart/file.php /path/to/official/Opencart/file.php

นอกจากนี้ สำหรับผู้ใช้ OpenCart จำเป็นต้องลบโฟลเดอร์ติดตั้งก่อน ซึ่งสามารถพบได้โดยเพียงแค่ไปที่โฟลเดอร์รูท ผู้ใช้ OpenCart จำเป็นต้องรักษาความปลอดภัยแคตตาล็อกจากผู้โจมตี ซึ่งสามารถทำได้โดยการบล็อกการเข้าถึงไฟล์ที่ละเอียดอ่อนบางอย่าง เช่น .php , .txt ของแคตตาล็อก ในการดำเนินการดังกล่าว ให้ผนวกโค้ดต่อไปนี้ต่อท้าย .htaccess ไฟล์ภายในโฟลเดอร์แคตตาล็อก:

วิธีการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก? ทำ DIY เพื่อแก้ไขเว็บไซต์ที่ถูกแฮ็ก

บทความที่เกี่ยวข้อง – สุดยอดแนวทางปฏิบัติด้านความปลอดภัยและการกำจัดมัลแวร์ของ Opencart

การกำจัดมัลแวร์ Prestashop

สำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กของ Prestashop การตรวจหาการติดไวรัสสามารถทำได้โดยดูจากโมดูลเป้าหมายทั่วไปบางโมดูล ขั้นแรก ลงชื่อเข้าใช้ร้าน Prestashop โดยใช้ไคลเอนต์ FTP หลังจากนั้นให้ค้นหาโค้ดที่เป็นอันตรายภายในโฟลเดอร์ต่อไปนี้:

  • โมดูล/โฮมเพจโฆษณา/สไลด์
  • โมดูล/โฮมเพจโฆษณา2/สไลด์
  • โมดูล/หน้าผลิตภัณฑ์โฆษณา/สไลด์
  • โมดูล/คอลัมน์/สไลด์
  • โมดูล/simpleslideshow/สไลด์

จับตาดูโค้ดใดๆ ที่ดูเหมือนเข้ารหัส base64 สามารถค้นพบได้โดยใช้ Gตัวแทน . ต่อไปนี้ คำสั่งของ Linux:

หา . -name “*.php” -exec grep “base64″‘{}’; -print &>ติดไวรัส.txt

คำสั่งนี้จะบันทึกอินสแตนซ์ที่เข้ารหัส base64 ทั้งหมดไว้ในไฟล์ที่ติดไวรัส จากที่นี่ พวกเขาสามารถถอดรหัสโดยใช้เครื่องมือออนไลน์และลบออกได้

การกำจัดมัลแวร์ Drupal

สำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กของ Drupal ก่อนอื่นให้ตรวจสอบให้แน่ใจว่าไม่มีไฟล์ที่ไม่รู้จักอยู่ใน /drupal-admin โฟลเดอร์ ไฟล์ที่น่าสงสัยที่ควรระวัง ได้แก่ Marvins.php, db_.php, 8c18ee, 83965, admin.php, buddy.strength, dm.php . หากคุณสังเกตเห็นว่าไฟล์ดังกล่าวลบทันที นอกจากนี้ อย่าลืมลบผู้ใช้ฐานข้อมูลที่ไม่รู้จัก หากต้องการตรวจสอบว่ามีการสร้างผู้ใช้ใหม่หลังจากวันที่กำหนดหรือไม่ ให้ใช้คำสั่ง SQL ต่อไปนี้:

เลือก * จากผู้ใช้เป็น u AND u.created> UNIX_TIMESTAMP(STR_TO_DATE('May 15 2019', '%M %d %Y '));

ที่นี่จะแสดงผู้ใช้ทั้งหมดที่สร้างขึ้นหลังวันที่ 15 พฤษภาคม 2019 เมื่อทำความสะอาดเสร็จแล้ว ให้ล้างแคชโดยใช้คำสั่ง:drush cache-rebuild (Drupal 8) หรือ drush cache-clear all (Drupal 7)

บทความที่เกี่ยวข้อง – สุดยอดแนวทางปฏิบัติด้านความปลอดภัยและการกำจัดมัลแวร์ของ Drupal

การกำจัดมัลแวร์ PHP

สำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กด้วย PHP ให้ดูที่ฐานข้อมูลก่อน ทำการสำรองข้อมูลของฐานข้อมูลก่อน ใช้เครื่องมือเช่น phpMyAdmin เพื่อค้นหาตารางที่น่าสงสัยเช่น 'Sqlmap '. นอกจากนี้ ให้ค้นหาภายในเนื้อหาของตารางสำหรับลิงก์ที่น่าสงสัย รหัสที่เป็นอันตราย ฯลฯ หากพบ ให้ลบรายการนั้นหรือลบทั้งตารางหากจำเป็น หลังจากนั้นให้ตรวจสอบว่าไซต์ยังคงทำงานอย่างถูกต้องหรือไม่ ถ้าใช่ แสดงว่าคุณได้ลบมัลแวร์ออกจากฐานข้อมูลเรียบร้อยแล้ว

ในการตรวจหาการติดไวรัสในไฟล์ PHP ให้ใช้คำสั่งต่อไปนี้เพื่อค้นหาโค้ดที่เป็นอันตรายที่เข้ารหัส base64:

หา . -name “*.php” -exec grep “base64″‘{}’; -print &> output.txt

นอกจากการเข้ารหัส base64 แล้ว เทคนิคการสร้างความสับสนอื่นๆ เช่น FOPO ก็มักใช้เช่นกัน ลบสคริปต์ PHP ที่ไม่รู้จัก หากคุณไม่แน่ใจว่าโค้ดใช้ทำอะไร ให้แสดงความคิดเห็นและรับความช่วยเหลือในการกำจัดมัลแวร์ สำหรับ PHP สิ่งสำคัญคือต้องปิดการใช้งานฟังก์ชันที่เป็นอันตราย ซึ่งสามารถช่วยผู้โจมตีใน Remote Code Execution สามารถทำได้โดยคำสั่งเดียวนี้:

disable_functions =“show_source, ระบบ, shell_exec, passthru, exec, popen, proc_open, allow_url_fopen, eval”

บางครั้งข้อความแสดงข้อผิดพลาดจะเปิดเผยข้อมูลที่ละเอียดอ่อนซึ่งผู้โจมตีสามารถใช้เพื่อโจมตีไซต์ของคุณได้ หากต้องการปิดข้อผิดพลาดดังกล่าว ให้เพิ่มโค้ดต่อไปนี้ใน php.ini ไฟล์:

display_errors=ปิด
log_errors=เปิด
error_log=/var/log/httpd/php_error.log

รหัสนี้ปิดใช้งานการแสดงข้อผิดพลาดและบันทึกลงใน php_error.log . แทน ไฟล์ที่คุณสามารถนำมาใช้เพื่อแก้ไขปัญหาได้ สุดท้ายแต่ไม่ท้ายสุด ตรวจสอบให้แน่ใจว่าอินพุตทั้งหมดที่เซิร์ฟเวอร์ของคุณได้รับผ่านรูปแบบ PHP ค่า ฯลฯ ได้รับการกรอง ข้อมูลที่ไม่ถูกสุขอนามัยสามารถสร้างความเสียหายให้กับไซต์ของคุณได้ ไปตรวจสอบความปลอดภัยเต็มรูปแบบสำหรับไซต์ PHP ของคุณ

หากต้องการความช่วยเหลือเกี่ยวกับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก ส่งข้อความหาเราในช่องแชท

บทความที่เกี่ยวข้อง – สุดยอดแนวทางปฏิบัติด้านความปลอดภัยและการกำจัดมัลแวร์ของ PHP

การลบมัลแวร์ WordPress

สำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กของ WordPress ให้ตรวจสอบไฟล์หลักก่อน เนื่องจากการกำจัดไฟล์เหล่านี้ทำได้ง่าย นอกจากนี้ ให้ตรวจสอบจากบันทึกของระบบเกี่ยวกับการเปลี่ยนแปลงที่ทำกับไฟล์ ซึ่งจะช่วยในการระบุการติดมัลแวร์ หากมีการติดไวรัสในไฟล์หลัก ให้แทนที่ด้วยไฟล์ใหม่จากที่เก็บอย่างเป็นทางการ เช่นเดียวกับไฟล์ธีม อย่างไรก็ตาม ให้หลีกเลี่ยงการแก้ไขไฟล์และโฟลเดอร์ที่มีความละเอียดอ่อน เช่น wp-content และ wp-config .

หากมัลแวร์สร้างบัญชีผู้ใช้ WordPress ใหม่ ควรลบออกทันที ค้นหาบัญชีผู้ใช้ใหม่ที่น่าสงสัยและดำเนินการลบ วิธีลบผู้ใช้ที่ไม่รู้จัก:

  1. เปิด wp-admin แดชบอร์ดและไปที่ผู้ใช้>ผู้ใช้ทั้งหมด .
  2. จากช่องทำเครื่องหมาย ให้เลือกผู้ใช้ที่คุณต้องการลบและขยาย "การดำเนินการเป็นกลุ่ม ” เมนูแบบเลื่อนลง
  3. สุดท้าย เลือก “ลบ ” แล้วเลือก “สมัคร ” การตั้งค่า
วิธีการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก? ทำ DIY เพื่อแก้ไขเว็บไซต์ที่ถูกแฮ็ก

นอกจากนี้ ตรวจสอบให้แน่ใจว่าไฟล์ภาพเป็นมัลแวร์ เช่น มัลแวร์ bak.bak/Favicon มักกำหนดเป้าหมายไซต์ WordPress ตรวจสอบ wp-uploads โฟลเดอร์และสแกนทุกภาพด้วยตนเอง โดยคัดลอก .ico ไฟล์ไปยังโฟลเดอร์และเปลี่ยนนามสกุลเป็น .txt . ตอนนี้เปิดไฟล์ข้อความเหล่านี้ หากเนื้อหาดูเหมือนไม่มีความหมายเหมือนในภาพ แสดงว่าไฟล์นั้นสะอาด มิฉะนั้นหากไฟล์ข้อความแสดงโค้ด PHP ให้ทำตามขั้นตอนด้านบนสำหรับการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก WordPress สุดท้ายนี้ อย่าลืมปิดการใช้งาน XML-RPC ใน WordPress

วิธีการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก? ทำ DIY เพื่อแก้ไขเว็บไซต์ที่ถูกแฮ็ก

การซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก:มาตรการป้องกัน

  • เปลี่ยนชื่อโฟลเดอร์ผู้ดูแลระบบเป็นชื่อผู้ใช้แบบสุ่ม ตัวอย่างเช่น ถ้าก่อนหน้านี้ URL ไปยังโฟลเดอร์ผู้ดูแลระบบของคุณคือ www.abc.com/admin/ เปลี่ยนชื่อเป็น www.abc.com/random123/ . สามารถทำได้โดยใช้บทช่วยสอนต่อไปนี้
  • หากเปิดใช้งานการจัดทำดัชนีไดเรกทอรี แฮกเกอร์จะสามารถดูไฟล์ที่ละเอียดอ่อนและใช้เพื่อแฮ็กเว็บไซต์ของคุณ ดังนั้น ปิดการใช้งานการจัดทำดัชนีไดเรกทอรีโดยเพิ่มรหัสต่อไปนี้ใน .htaccess ไฟล์ในแต่ละไดเร็กทอรี:Options -Indexes
  • ไม่สำคัญว่าคุณกำลังใช้ CMS ใดอยู่ ตรวจสอบให้แน่ใจว่าเป็นเวอร์ชันล่าสุด การอัปเดตจากเว็บไซต์อย่างเป็นทางการถือเป็นแนวทางปฏิบัติที่ดีซึ่งสามารถป้องกันการแฮ็กเว็บไซต์ได้
  • การอนุญาตไฟล์ที่เหมาะสมสามารถป้องกันไฟล์สำคัญของคุณจากผู้โจมตีได้ ตั้งค่าการอนุญาตไฟล์เป็น 644 หรือ 444 เสมอ สำหรับไฟล์ที่มีความละเอียดอ่อน เช่น config.php, index.php, admin/config.php, admin/index.php, system/startup.php ตั้งค่าการอนุญาตเป็น 444
  • ตรวจสอบให้แน่ใจว่าไม่มีฮาร์ดโค้ดหรือรหัสผ่านเริ่มต้นบนไซต์ ใช้ธีม ส่วนขยาย และปลั๊กอินที่มีชื่อเสียงเสมอ
  • เลือกใช้แผนโฮสติ้งที่ปลอดภัยแทนที่จะใช้แผนราคาถูก แผนอาจดูถูกในขณะนี้ แต่อาจทำให้คุณเสียค่าใช้จ่ายมากในระหว่างการซ่อมแซมเว็บไซต์ที่ถูกแฮ็ก ตรวจสอบให้แน่ใจด้วยว่าเซิร์ฟเวอร์ได้รับการกำหนดค่าอย่างเหมาะสม และไม่มีพอร์ตที่เปิดอยู่ การกำหนดค่าเซิร์ฟเวอร์ผิดพลาดบนเซิร์ฟเวอร์
  • การใช้ SSL ไม่เพียงแต่ทำให้การสื่อสารระหว่างผู้ใช้และไซต์ของคุณปลอดภัย แต่ยังช่วยคุณในเรื่อง SEO อีกด้วย รับใบรับรอง SSL สำหรับเว็บไซต์ของคุณและนำไปใช้บนเซิร์ฟเวอร์ของคุณ หลังจากนั้น ตรวจสอบให้แน่ใจว่าเว็บไซต์เปลี่ยนเส้นทางไปที่ https แทน HTTP เสมอ ในการทำให้สำเร็จ ให้เพิ่มรหัสต่อไปนี้ใน .htaccess ไฟล์:

# เปลี่ยนเส้นทาง HTTP เป็น HTTPS
RewriteEngine บน
RewriteCond %{HTTPS} ปิด
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

ใช้โซลูชันความปลอดภัยเพื่อหลีกเลี่ยงการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กด้วยตนเอง

สามารถหลีกเลี่ยงความยุ่งยากของการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กได้หากใช้โซลูชันความปลอดภัยหรือไฟร์วอลล์ตั้งแต่แรก ทุกวันนี้มีตัวเลือกมากมายให้เลือก ซึ่งไม่เพียงแต่ให้ไฟร์วอลล์เท่านั้นแต่ยังมีชุดความปลอดภัยที่สมบูรณ์อีกด้วย แอสตร้าเหมาะกับงบประมาณของคุณเพราะสามารถปรับขนาดได้สูง ไฟร์วอลล์ Astra สามารถป้องกันเว็บไซต์ของคุณจากการโจมตีทุกประเภท แม้ว่าเว็บไซต์ของคุณจะมีช่องโหว่ แม้ว่าเครื่องสแกนมัลแวร์จะช่วยในการซ่อมแซมเว็บไซต์ที่ถูกแฮ็กและสามารถตรวจจับมัลแวร์ได้จำนวนมาก