Chào mọi người mình là Đan hiện là một IT tại công ty VinaHost. Gần đây có thông tin xuất hiện về vấn đề các DNS server bị hack dẫn đến việc Hacker lợi dụng trỏ CNAME của một số domains bị hack về site quảng cáo của họ gây mất Index của nhiều trang web. Tuy nhiên vấn đề này đứng dưới góc nhìn của các SysOps đã dễ dàng kiểm tra và khắc phục bằng cách xoá record tăng cường bảo mật và tiến hành xoá index cho các URL đó. Chi tiết bạn có thể đọc tại đây.
Tuy nhiên hôm nay mình sẽ không nói về vấn đề này. Một vấn đề khác đau đầu hơn chính là một web site bị đánh dấu là “Dangerous” gây mất uy tín và tụt index của trang web đó. Không những trang web chính mà cả các trang web phụ hay các subdomain đều bị đánh dấu là nguy hiểm.
Đối với một doanh nghiệp lớn nó là một đòn đánh nặng nề và nghiêm trọng khi khiến khách hàng mất niềm tin về sản phẩm và độ uy tín của doanh nghiệp đó.
Mình cũng là một nạn nhân khi vào một đêm đẹp trời gió thổi mát mẻ, mình truy cập web để kiểm tra hệ thống WAF đặt trên web đó thì bất ngờ thay mình không thể truy cập vào trang web của mình và trang web của mình bị đánh dấu “Dangerous” hay là một trang web nguy hiểm.
Lan mang đủ rồi bây giờ cũng mình vào hành trình tìm hiểu và các để mình delist hay gỡ bỏ trang web mình khỏi cảnh báo nguy hiểm này nhé.
Lưu ý bài viết này mình hướng đến tất cả mọi người cho nên sẽ có nhiều điểm đi khá chậm gây khó chịu khi đọc, các bạn có thể bỏi qua và đến phần cuối cùng để đọc nguyên nhân nhé,
- Tại sao trang web của tôi lại bị đánh dấu là nguy hiểm trên Google Search.
Mình có tìm kiếm trên Google về vấn đề này nhưng không thấy tín hiệu khả quan nào cả. Mình đã scan virus trên chính VPS của mình, thậm chí scan bằng Imunify xịn sò trên hosting cao cấp nhất của Vinahost nhưng nhận lại là không có bất kì Virus hay mã độc nào cả.
Sau đó mình tìm hiểu rất nhiều nguồn trên Google từ Reddit đến Google Forum và các nền tảng khác thì mình nhận ra điều này không xuất phát từ mã nguồn của trang web chính của mình mà nó đã bị đánh vào chính domains “thanhdan.name.vn” điều này làm cho toàn bộ các site sử dụng tên miền là “thanhdan.name.vn” đều bị đánh dấu nguy hiểm mặc dù đang sử dụng mã nguồn gì hay có bị hack hay không.
Tuy nhiên mình không bỏ cuộc, mặc dù site này mình chỉ tạo cho vui vì hứng thú nhất thời và tìm một chỗ để tổng hợp kiến thức của mình lại nhưng cũng có tâm huyết của mình đặt vào đó do vậy dù thế nào mình cũng quyết tâm cứu bằng được em nó.
Bắt đầu với các bài viết từ Google Forum mình biết được nguyên nhân là do trang web của mình có thể tải các tệp xuống mà hoặc có dạng shell exec khi truy cập vào làm cho Google scan thấy và báo cáo nhầm thành mình là một hacker và đang có ý định lừa đảo và đánh cắp thông tin của người truy cập khi click vào links. Tuy nhiên mình đã scan và khẳng định rằng không có bất kì một shell nào trên trang web cả. Mình nghĩ đến việc trang web mình bị hack ư.
- Bắt đầu với việc kiểm tra trang web có bị hack không?
Mình bắt đầu nghi ngờ trang web mình bị hack vào web do mật khẩu mình đặt cũng khá dễ đoán ( nếu các bạn là người quen của mình thì sẽ biết ngay là pass gì : D )
Đối với các SA khác việc kiểm tra sẽ khá là phiền phức khi bạn phải kiểm tra log truy cập thông qua SSH.
Tuy nhiên trang web này của mình lại được trỏ qua hệ thống WAF của VinaHost với các Log truy cập được hiển thị ngay trên giao diện. Mình đã kiểm tra trên hệ thống WAF này và à ừm con web nhỏ nhoi của mình bị scan khá nhiều tuy nhiên đều bị chặn do hệ thống WAF này chỉ duy nhất IP của mình được quyền vào giao diện Admin của trang web.
Điều này chấm dứt suy nghĩ của mình về việc web mình bị hack thông qua Admin. Vậy vấn đề do đâu ???
Lật lại vấn đề nào, điều này xãy ra trên tất cả subdomain chứ không phải chỉ xãy ra trên mỗi một trang web chính thức của mình. Lúc này mình nghĩ đến vấn đề dạo gần này đang nổi cộm là do DNS system bị tấn công và chỉ cần 1 subdomain bị dính Dangerous thì tất cả đều dính.
- Hành trình truy tìm hung thủ ?
Đến đây thì mình đã xác nhận chắc chắn vấn đề này đến từ các subdomains rồi mình lập tức tuy cập bảng quản lý DNS của mình kiểm tra. Các bản ghi đều bình thường không có bất kì một dấu hiệu bị tấn công. Hệ thống DNS của VinaHost thuộc dạng an toàn nhất khi chưa có tiền sử bị tấn công với minh chứng là sống sót sau đợt “ thảm sát DNS system” của các hacker vừa qua.
Tuy nhiên mình vẫn quyết định xoá bớt các record DNS trỏ đến các IP mà mình không biết để tránh tình trạng IP đó do người mới dùng nhưng đang upload shell gây hại ảnh hưởng đến mình. Thậm chí mình đã xoá hẳn trang web upload mình dùng để chuyển các file tài liệu giữa các máy với nhau.
Sau khi xoá xong thì mình vẫn không thấy khả quan hơn site vẫn bị đánh dấu nguy hiểm ? Vậy là mình xoá chưa đủ hay đã sót ai đó.
- Hung thủ lộ diện
Đến đây mình bắt đầu tìm cách delist site mình ra khỏi các list có thể đánh dấu Dangerous cho site của mình.
Thông qua một bài viết của các cao nhân trên Reddit thì mình sử dụng Google Search Console để kiểm tra nó.
Đầu tiên để sử dụng Google Search Console ta cần vào trang web của nó tại : https://search.google.com/search-console/
Sau đó ta phải xác thực tên miền bằng các trỏ DNS Record theo hướng dẫn.
Sau khi xác thực và vào giao diện Console mình thấy ngay là Web mình tìm thấy một vấn đề bảo mật tại đường links : https://ssd.thanhdan.name[.]vn/ và ngạc nhiên thay tên miền này trước đó mình đã kiểm tra và xoá đi.
Mình lại cặm cụi tìm kiếm và mãi vẫn không thấy mình đã trỏ DNS cho tên miền này.
Sau khi bình tĩnh lại mình thấy một record dạng *.thanhdan.name.vn đang trỏ về VPS của mình và ngạc nhiên thay nó lại vô tình trúng ngay foder trước khi mình nhưng shell để test tốc độ đĩa cứng.
Vậy là rõ ràng chính các Shell này chính là thủ phạm khiến site mình bị đánh “Dangerous”.
Mình tiến hành xoá record này đi sau đó xoá bớt đi những file shell test thì mình click vào Manual Actions và kiểm tra lại.
Sau khi đã xác nhận không có lỗi và đã request với Google bạn sẽ nhận thông báo như sau:
Chọn Request a Review sau đó đợi khoảng 30p đến 24h tuỳ theo issue của bạn.
Vào kiểm tra trong Security Isssues nếu thấy thông báo No issue như sau thì nghĩa là Web của bạn đã trong trắng trở lại.
Tóm lại quá trình giải quyết case này như sau:
- Kiểm tra xem các links nào của mình đang gặp lỗi.
- Kiểm tra scan các mã độc trên web của mình
- Kiểm tra các Subdomain có đang trỏ đi nơi khác không đặc biệt lưu ý với subdomain dạng *.<domain>
- Kiểm tra các lỗ hỏng có thể khai thác trên trang web
- Kiểm tra khắc phục issues trong Google Search Console