เว็บไซต์ของฉันถูกแฮ็ก :: ฉันควรทำอย่างไรตอนนี้

เผยแพร่แล้ว: 2014-12-11

Hacked Website

คุณถูกแฮ็กแล้ว! เอาล่ะ คุณไม่ได้อยู่คนเดียวที่นี่ มันเกิดขึ้นกับเจ้าของเว็บไซต์จำนวนมากเนื่องจากเว็บไซต์ที่ถูกแฮ็กกลายเป็นเรื่องธรรมดามากขึ้น รายงานอุตสาหกรรมล่าสุดระบุข้อเท็จจริงที่น่าตกใจว่ากว่า 70% ของเว็บไซต์มีข้อบกพร่องด้านความปลอดภัยที่สำคัญ หากไม่เกิดขึ้นตอนนี้ก็อาจเกิดขึ้นในอนาคตอันใกล้ หรือคุณอาจมีแฮกเกอร์เข้าเยี่ยมชมเว็บไซต์ของคุณเพื่อค้นหาช่องโหว่ที่จะถอดรหัสได้สักวันหนึ่ง

ดังนั้นจึงเป็นเรื่องสำคัญที่ผู้ดูแลเว็บจะต้องใช้มาตรการป้องกันที่เป็นไปได้ทั้งหมด แทนที่จะใช้ความพยายามอย่างต่ำสำหรับแฮกเกอร์ แต่ถ้าคุณถูกแฮ็กแล้วละ? อ่านบทความนี้เพิ่มเติมเพื่อดูว่ามันเกิดขึ้นได้อย่างไร และคุณควรดำเนินการอย่างไรเพื่อให้เว็บไซต์ของคุณกลับมาทำงานได้อีกครั้ง

ฉันจะรู้ได้อย่างไรว่าฉันถูกแฮ็ก

ไม่ต้องใช้ทักษะพิเศษใดๆ ในการพิจารณาว่าคุณถูกแฮ็ก คุณเรียกดูเว็บไซต์ของคุณเหมือนทุกวันและพบว่าเว็บไซต์ของคุณเสียหาย หรือ ที่พบมากที่สุดคือ; เมื่อเว็บไซต์ของคุณถูกแทนที่ด้วยหน้าที่มีพื้นหลังสีดำและมีสัญลักษณ์ขนาดใหญ่และข้อความว่า “Hacked by some_group_name”

ในหลายกรณี คุณถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ไม่น่าพอใจ เช่น หน้าเว็บลามกหรือยารักษาโรค หากคุณเคยประสบกับสิ่งใดๆ ข้างต้น เห็นได้ชัดว่าคุณถูกแฮ็ก แฮกเกอร์ที่ฉลาดบางคนไม่ต้องการให้คุณรู้ว่าเว็บไซต์ของคุณถูกแฮ็ก พวกเขาอาจไม่ทำให้หน้าเว็บของคุณเสียโฉมด้วยแบนเนอร์และโลโก้ที่ฉูดฉาด แต่พวกเขาชอบที่คุณไม่รู้เรื่องนี้ ดังนั้นพวกเขาจึงสามารถใช้เว็บไซต์ของคุณได้ตราบเท่าที่พวกเขาสามารถกระทำการมุ่งร้ายได้

ทุกวันนี้ แฮ็กเกอร์ SEO หมวกดำเรียกใช้แคมเปญสแปมเพื่อรับรองร้านค้าออนไลน์ที่ขาย "แบบจำลอง" ราคาถูกของแบรนด์หรูยอดนิยม ส่วนใหญ่ วิธีการยังคงเหมือนเดิม แต่หน้าดอร์เวย์เหล่านี้ได้รับการปรับให้เหมาะสมเป็นครั้งคราวตามกิจกรรมและเทศกาลล่าสุด เช่นลิงก์สำหรับคริสต์มาสจะเป็นเช่น "Christmas specials cheap louis Vuitton"

โดยทั่วไป ลิงก์ดังกล่าวจะชี้ไปที่โฮมเพจของเว็บไซต์ที่ติดไวรัส เว็บไซต์ที่ถูกบุกรุกเหล่านี้อาจมีบล็อกลิงก์สแปมที่ซ่อนอยู่ที่ด้านล่างของโค้ด HTML ดังต่อไปนี้:

Website Doorway

คุณยังสามารถค้นหาเว็บไซต์ของคุณใน Google หรือใน Bing ได้ เช่น

site:yourdomain.com คำสแปมใดๆ …….ie site:mywebsite.com ราคาถูก

หากเสิร์ชเอ็นจิ้นแสดงรายการหน้าเว็บที่ผิดปกติซึ่งมีลิงก์สแปม คุณต้องถูกแฮ็กโดยปรสิตบางตัว ในกรณีดังกล่าว คุณสามารถสแกนเว็บไซต์ของคุณผ่าน Sucuri SiteCheck และ Unmask Parasites

แทนที่จะคุยกัน เรามาสรุปสัญญาณสั้นๆ ที่บ่งบอกว่าคุณถูกแฮ็ก

  • เบราว์เซอร์ระบุว่าเว็บไซต์ของคุณอาจถูกบุกรุก
  • หน้าเริ่มต้นของเว็บไซต์ของคุณถูกแทนที่ด้วยหน้าฉูดฉาด
  • เว็บไซต์ของคุณเปลี่ยนเส้นทางไปยังหน้าเว็บที่ไม่เหมาะสม
  • เครื่องมือค้นหาจะแจ้งให้คุณทราบว่าเว็บไซต์ของคุณมีเนื้อหาที่เป็นอันตราย
  • คุณสังเกตเห็นหน้าเว็บแปลก ๆ หรือรหัสที่ผิดปกติในรหัสเว็บไซต์
  • หากคุณไม่สามารถเข้าสู่ระบบในพื้นที่บริหารได้แม้จะใช้ข้อมูลรับรองการเข้าสู่ระบบที่ถูกต้องหรือพบว่าตัวเองถูกล็อค

อะไรคือสาเหตุที่เป็นไปได้เบื้องหลังการแฮ็กนี้

เว็บไซต์สามารถถูกแฮ็กได้หลายวิธี ต่อไปนี้เป็นวิธีการทั่วไปบางประการที่แฮ็กเกอร์ใช้เพื่อแฮ็กอินเทอร์เน็ต:

  • เดารหัสผ่านหรือวิศวกรรมสังคม
  • เดาชื่อผู้ใช้และรหัสผ่านเดรัจฉาน
  • ควบคุมแบ็กเอนด์แดชบอร์ดใน CMS เช่น WordPress โดยใช้การฉีด SQL
  • ฉีดมัลแวร์ในเครื่องคอมพิวเตอร์เพื่อเก็บข้อมูลรับรองการเข้าสู่ระบบของคุณ
  • ค้นหาช่องโหว่ด้านความปลอดภัยในซอฟต์แวร์เฉพาะ อัปเดต ปลั๊กอิน ธีม และใช้ประโยชน์จากมัน
  • การฉีดเชลล์ผ่านหน้าอัพโหลดที่ไม่ปลอดภัยในเว็บเซิร์ฟเวอร์เพื่อควบคุมเซิร์ฟเวอร์ทั้งหมด
  • แฮ็กเว็บไซต์ของผู้อื่นซึ่งอยู่บนเซิร์ฟเวอร์ที่ใช้ร่วมกันเดียวกันกับที่คุณใช้สำหรับเว็บไซต์ของคุณ

สิ่งที่ต้องดำเนินการหลังจากถูกแฮ็ก?

สแกนคอมพิวเตอร์ของคุณเพื่อหาไวรัสและมัลแวร์

หากต้องการค้นหาผู้กระทำผิด ให้เริ่มต้นด้วยระบบในพื้นที่ของคุณ เป็นไปได้ว่าแหล่งที่มาของการติดเชื้อเริ่มต้นในเครื่องของคุณ ดังนั้น ติดตั้งโปรแกรมป้องกันไวรัสที่ดีและเรียกใช้การสแกนแบบเต็มเพื่อให้แน่ใจว่าระบบในพื้นที่ของคุณไม่ติดมัลแวร์ สปายแวร์ โทรจัน ฯลฯ ก่อนที่คุณจะเรียกใช้การสแกนแบบเต็ม ตรวจสอบให้แน่ใจว่าซอฟต์แวร์ป้องกันไวรัสของคุณต้องทันสมัย พร้อมคำจำกัดความล่าสุด สำหรับ Windows เราขอแนะนำ Microsoft Security Essentials เนื่องจากมีการป้องกันภัยคุกคามล่าสุดแบบเรียลไทม์

เปลี่ยนรหัสผ่านทั้งหมด

เปลี่ยนรหัสผ่านสำหรับผู้ใช้ทั้งหมดและทุกบัญชี เช่น การเข้าถึง FTP บัญชีแผงควบคุม บัญชีผู้ดูแลระบบ บัญชีสร้างระบบจัดการเนื้อหา ตรวจสอบรายชื่อบัญชีผู้ใช้ของเว็บไซต์ของคุณ และตรวจสอบให้แน่ใจว่าแฮ็กเกอร์ไม่ได้สร้างบัญชีผู้ใช้ใหม่ หากคุณพบบัญชีที่ไม่รู้จัก โปรดจดไว้เพื่อตรวจสอบในภายหลัง จากนั้นให้ลบบัญชีเหล่านี้ทันทีเพื่อป้องกันการเข้าสู่ระบบในอนาคตโดยแฮ็กเกอร์

ทำให้เว็บไซต์ของคุณออฟไลน์

เมื่อคุณถูกแฮ็กแล้ว ให้ป้องกันไม่ให้เว็บไซต์ของคุณแพร่เชื้อไปยังผู้อื่น และเพื่อป้องกันไม่ให้แฮกเกอร์ใช้ระบบในทางที่ผิดต่อไป ทันทีที่คุณรู้ว่าคุณถูกแฮ็ก ให้เว็บไซต์ของคุณออฟไลน์ทันที สำรองไฟล์เว็บไซต์ที่ติดไวรัสและฐานข้อมูล MySQL เปลี่ยนชื่อโฟลเดอร์เป็นข้อมูลสำรองที่ถูกแฮ็ก ดังนั้น คุณสามารถตรวจสอบพวกเขาในภายหลังในยามว่าง หรือคืนค่าให้พวกเขาหากความพยายามในการทำความสะอาดของคุณล้มเหลว

ติดต่อโฮสต์เว็บของคุณทันที

หากคุณกำลังใช้โฮสต์ที่ใช้ร่วมกัน โปรดติดต่อโฮสต์เว็บของคุณเพื่อตรวจสอบว่าการแฮ็กนี้ส่งผลต่อเว็บไซต์อื่นในเซิร์ฟเวอร์เดียวกันหรือไม่ ถามพวกเขาว่าพวกเขามีสำเนาสำรองของฐานข้อมูลและไฟล์เว็บไซต์ของคุณดีหรือไม่ หากพวกเขามีข้อมูลสำรองของคุณ บอกให้พวกเขารักษาความปลอดภัยก่อนที่จะถูกเขียนทับ หากคุณมีการสำรองข้อมูลไฟล์ทั้งหมดในระบบภายในของคุณ ให้พิจารณากู้คืนจากข้อมูลสำรองนี้

การล้างเนื้อหาเว็บและการตรวจสอบหลังการแฮ็ก

ตอนนี้เปิดโฟลเดอร์สำรองที่ถูกแฮ็กก่อนหน้านี้สำหรับการวิเคราะห์หลังการแฮ็ก ประการแรก ตรวจสอบโฟลเดอร์เนื้อหาเว็บ ไฟล์ และเวลาแก้ไข เตรียมรายชื่อของโฟลเดอร์/ไฟล์ที่แก้ไขล่าสุด และตรวจสอบว่ามีไฟล์ใหม่แทรกอยู่ในโฟลเดอร์ที่แก้ไขหรือไม่ และตรวจสอบว่ามีการแก้ไขใดบ้างในไฟล์ที่แก้ไข

หากคุณเห็นโค้ดที่เป็นอันตรายแทรกอยู่ในไฟล์หรือไฟล์ใดๆ ที่ไม่ได้เป็นของเว็บไซต์ของคุณ ให้ลบ/ซ่อมแซมออก คุณยังสามารถเรียกใช้การสแกนไฟล์เว็บแบบเต็มผ่านซอฟต์แวร์ป้องกันไวรัส/มัลแวร์ที่อัปเดต ซ่อมแซมหรือกักกันรหัสของคุณหากเป็นไปได้ หรือพิจารณากู้คืนจากสำเนาสำรองที่มี

จดบันทึกเวลาเมื่อไฟล์เหล่านี้ถูกโจมตี มันจะช่วยให้คุณ จำกัด แบบฝึกหัดการค้นหาบันทึกให้แคบลง บันทึกการขุดเป็นการตรวจสอบเบื้องต้นสำหรับเหตุการณ์การแฮ็ก แต่ต้องมีการเข้าถึงระดับผู้ดูแลระบบ หากคุณมีสิทธิ์เข้าถึงระดับผู้ดูแลระบบ คุณสามารถตรวจสอบตัวแสดงเหตุการณ์ (Windows) หรือบันทึกที่เกี่ยวข้องเพื่อตรวจสอบเพิ่มเติม ค้นหาการอนุญาตซ้ำ ๆ ล้มเหลวในการพยายามเข้าสู่ระบบหรือบันทึก FTP จากที่อยู่ IP ที่ไม่รู้จัก

หากคุณมีหน้าอัปโหลดในเว็บไซต์ของคุณโดยไม่มีการตรวจสอบไฟล์และแคปต์ชาที่อาจเป็นผู้กระทำความผิด ตรวจสอบเส้นทางการอัปโหลดของคุณหากมีการแทรกสคริปต์เชลล์หรือโค้ดที่เป็นอันตราย ตรวจสอบรายชื่อบัญชีผู้ใช้ หากคุณพบบัญชีที่ไม่รู้จัก ให้ปิดการใช้งานทันทีและค้นหากิจกรรมล่าสุดในบันทึก

ตรวจสอบไฟล์ .htaccess ไฟล์ดัชนี หรือหน้าเริ่มต้นเพิ่มเติมเพื่อให้แน่ใจว่าไม่มีการเปลี่ยนเส้นทางที่เป็นอันตรายหรือรหัสเจตนาร้ายใดๆ หากคุณกำลังใช้งานบล็อก WordPress ให้ตรวจสอบไดเรกทอรี wp-content/themes ที่กำหนดเป้าหมายไปที่ index.php, header.php, footer.php และ functions.php

สาเหตุที่พบบ่อยที่สุดเบื้องหลังการแฮ็กคือการเข้ารหัสที่ไม่ดี สคริปต์ที่ล้าสมัยและไม่ปลอดภัย ปลั๊กอิน ธีม หน้าอัปโหลดที่ไม่ปลอดภัย ดังนั้น เพื่อป้องกันไม่ให้เกิดขึ้นอีก คุณต้องจัดการกับผู้กระทำผิดที่เป็นไปได้ทั้งหมดเหล่านี้

บทสรุป

มีหลายวิธีในการถูกแฮ็กและเทคนิคการสอบสวน รายการด้านบนก็เหมือนกับยอดภูเขาน้ำแข็ง ขั้นตอนหลักที่จะดำเนินการในเหตุการณ์แฮ็คคือการติดต่อผู้ให้บริการโฮสต์ โดยปกติ พวกเขาอยู่ในตำแหน่งที่ดีที่สุดในการทำงานด้านเทคนิคที่หนักหน่วงที่สุดให้กับคุณ การถูกแฮ็กเว็บไซต์ไม่ใช่เรื่องสนุก ดังนั้นโปรดรักษาความใจเย็นและใกล้ชิดกับทีมสนับสนุนเพื่อให้มันทำงานโดยเร็วที่สุด