Cách xử lý tình trạng website bị chèn link cờ bạc, cá cược

Chèn link độc hại, đặc biệt là link liên quan đến cờ bạc và cá cược, vào các website đang diễn ra ngày càng phổ biến và tinh vi, gây ra những hệ lụy nghiêm trọng cho doanh nghiệp và tổ chức.

Thực trạng website bị nhúng link độc hại đáng báo động

Theo số liệu của Bộ Công an, năm 2022 chứng kiến hàng trăm trang web của cơ quan nhà nước bị lợi dụng để chèn link độc hại. Tình trạng này tiếp tục leo thang trong năm 2023, với 90 website bị phát hiện vào tháng 3 và 190 website giáo dục bị tấn công vào tháng 4. Đáng chú ý, các website uy tín với lượng truy cập lớn thường là mục tiêu hàng đầu của tin tặc.

Gần đây, tình trạng chèn link quảng cáo độc hại vào website của các đơn vị nhà nước và giáo dục ngày càng diễn biến phức tạp. Các cuộc tấn công mạng này không chỉ gia tăng về quy mô mà còn trở nên tinh vi hơn với nhiều hình thức mới, gây khó khăn đáng kể cho công tác quản lý và xử lý.

Các domain .gov.vn bị chèn link cờ bạc, cá cược

Các domain .edu.vn bị chèn link cờ bạc, cá cược

Không chỉ giới hạn ở các cơ quan nhà nước và giáo dục, mọi doanh nghiệp hoạt động trực tuyến đều đối mặt với nguy cơ bị tấn công mạng bằng cách chèn link độc hại. Đặc biệt, các doanh nghiệp có tên miền uy tín và lượng truy cập cao càng trở thành mục tiêu hấp dẫn của tin tặc, nhằm khai thác tối đa lợi ích từ việc phát tán nội dung độc hại và quảng cáo trái phép.

Chèn link độc hại gây ảnh hưởng tiêu cực đến doanh nghiệp

Tác động tiêu cực từ việc chèn link cờ bạc, cá cược chủ yếu qua 4 khía cạnh chính như sau:

• Tổn hại uy tín: Hình ảnh và danh tiếng của tổ chức bị ảnh hưởng nghiêm trọng khi website bị liên kết với các hoạt động phi pháp và nội dung độc hại. Điều này đặc biệt nghiêm trọng đối với các cơ quan chính phủ, tổ chức giáo dục và doanh nghiệp có thương hiệu uy tín, gây mất lòng tin từ công chúng và đối tác.
• Giảm lưu lượng truy cập: Website bị gắn cờ cảnh báo bởi các công cụ tìm kiếm và trình duyệt web, dẫn đến việc giảm thứ hạng trên kết quả tìm kiếm, làm giảm đáng kể lượng người truy cập và khả năng tiếp cận khách hàng tiềm năng.
• Thiệt hại tài chính: Sự sụt giảm lưu lượng truy cập trực tiếp tác động tiêu cực đến hoạt động kinh doanh trực tuyến, gây thiệt hại về doanh thu và mất đi cơ hội kinh doanh của doanh nghiệp.
• Chi phí tốn kém: Doanh nghiệp phải đối mặt với chi phí đáng kể để khắc phục hậu quả của cuộc tấn công, bao gồm việc vá các lỗ hổng bảo mật, nâng cấp hệ thống và triển khai các biện pháp bảo mật mới. Điều này có thể gây gián đoạn hoạt động kinh doanh và làm tăng chi phí vận hành.

Đằng sau các đường link độc hại trên website là một mạng lưới tội phạm mạng tinh vi, sử dụng nhiều phương thức tấn công đa dạng và ngày càng tinh vi để khai thác lỗ hổng bảo mật và trục lợi bất chính.

Nguyên nhân website bị chèn link độc hại

a. Kẻ tấn công ngày càng tinh vi

Kẻ xấu luôn tìm cách lợi dụng không gian mạng để thực hiện các hành vi chèn link cá cược, cờ bạc… đặc biệt là trong bối cảnh các giải bóng đá lớn như EURO, World Cup, Copa America... khởi tranh. Chúng tận dụng thời điểm này để lập ra hàng loạt website cá độ với hệ thống máy chủ đặt tại nước ngoài, đồng thời đẩy mạnh quảng cáo, lôi kéo người chơi tham gia vào các hoạt động cá cược trái phép, bằng việc tấn công, chiếm quyền kiểm soát những máy chủ sau đó chèn các mã độc, chuyển hướng truy cập đến những trang cờ bạc, cá độ với các từ khóa liên quan như “xocdia”, “taixiu”, “go88”, “hitlub”…

b. Black Hat SEO nhắm vào website uy tín

Các tổ chức nhà nước và giáo dục với tên miền .gov.vn và .edu.vn có độ uy tín cao, trở thành mục tiêu hấp dẫn của các chiến dịch Black Hat SEO (SEO mũ đen). Kẻ xấu khai thác backlink từ các trang web này để tăng thứ hạng tìm kiếm cho các website bất hợp pháp nhanh chóng và tiếp cận lượng lớn người dùng tiềm năng.

c. Thiếu đầu tư cho an ninh mạng

Nhiều đơn vị, đặc biệt các đơn vị công lập và giáo dục, chưa nhận thức được tầm quan trọng của an ninh mạng, dẫn đến việc thiếu nguồn lực đầu tư cho bảo mật. Điều này khiến việc quản trị, cập nhật và giám sát tình trạng website không được thực hiện thường xuyên và hiệu quả, tạo ra những lỗ hổng bảo mật tiềm ẩn, dễ bị các đối tượng tấn công mạng khai thác.

Các hình thức tấn công phổ biến

Các website thường bị tấn công và khai thác lỗ hổng bảo mật để chèn backlink xấu, dẫn đến nguy cơ lây nhiễm mã độc hoặc hiển thị nội dung không phù hợp. Trong đó, backlink xấu xuất phát từ hoạt động Black Hat SEO, là việc "bất chấp" mọi nguyên tắc của Google để giành lấy thứ hạng cao trên kết quả tìm kiếm. Các hình thức tấn công phổ biến bao gồm bắt nguồn từ 3 nguyên nhân chính sau đây:

• Spam index: Kẻ xấu lợi dụng các form không được kiểm duyệt trên website để nhồi nhét từ khóa.
• File upload: Tấn công bằng cách khai thác lỗ hổng cho phép tải lên tập tin chứa từ khóa SEO.
• Khai thác lỗ hổng bảo mật: Tin tặc lợi dụng các lỗ hổng trên máy chủ, thư viện dùng chung, plugin, tài khoản quản trị yếu, hoặc cơ sở dữ liệu để chiếm quyền kiểm soát website và chèn link độc hại. Các loại lỗ hổng bảo mật thường bị khai thác:

1. Máy chủ sử dụng hệ điều hành cũ, chưa được cập nhật bản vá.
2. Website sử dụng thư viện dùng chung có chứa lỗ hổng bảo mật.
3. Lỗ hổng trong các plugin được cài đặt trên website.
4. Tài khoản quản trị có mật khẩu yếu.
5. Tài khoản kết nối cơ sở dữ liệu có mật khẩu không đủ mạnh.
6. Máy chủ có phân quyền lỏng lẻo, dễ lây lan sang các website khác trên cùng máy chủ.

Để bảo vệ website khỏi các cuộc tấn công mạng và sự xâm nhập của các liên kết độc hại, việc áp dụng các biện pháp phòng ngừa và khắc phục kịp thời không chỉ là cần thiết mà còn là bắt buộc đối với mọi tổ chức và doanh nghiệp.

Cách xử lý backlink xấu

Đối với các website đã bị tấn công

1. Thêm header hoặc thẻ no-index cho các đường dẫn uploads để thông báo cho công cụ tìm kiếm biết rằng không index các đường dẫn, tệp mà người dùng gửi lên.
2. Gỡ bỏ các tệp PDF có chứa nội dung backlink.
3. Dò quét lỗ hổng website, cập nhật lại các bản vá của OS...
4. Xác định lỗ hổng XSS hoặc phần tìm kiếm, vá các lỗ hổng này lại.
5. Xác định các lỗ hổng Upload file, vá lại các lỗ hổng này.
6. Liệt kê lại các đường dẫn bài viết đã bị google index liên quan đến quảng cáo để yêu cầu xoá bỏ. Tham khảo đường dẫn: https://developers.google.com/search/docs/crawling-indexing/remove-information?hl=vi

Đối với các website chưa bị tấn công

1. Thêm header hoặc thẻ no-index cho các đường dẫn uploads để thông báo cho công cụ tìm kiếm biết rằng không index các đường dẫn, tệp mà người dùng gửi lên.
2. Rà soát lỗ hổng XSS, File upload, SQL Injection, các CVE và chức năng tìm kiếm của website.

Cách xử lý chèn link độc hại do khai thác lỗ hổng

Các phương thức khắc phục, ngăn ngừa bị chèn backlink do khai thác lỗ hổng bảo mật:

1. Rà quét website chưa bị chèn backlink để xác định các lỗ hổng RCE, SQL-Injection, các CVE nếu có và vá lại các lỗ hổng này.
2. Kiểm tra toàn bộ mã nguồn các trang web có trên máy chủ bị chèn backlink. Đặc biệt chú ý đến các lỗ hổng liên quan đến SQL Injection, Telerik... Hạn chế tối đa việc dùng chung host cho nhiều trang web. Điều này thường là nguyên nhân gây "tái nhiễm" backlink do sau khi làm sạch máy chủ, và lỗ hổng website nhưng hacker vẫn còn đường xâm nhập thông qua lỗ hổng của một website khác cùng được host trên máy chủ đó.
3. Kiểm tra mã độc trên các module IIS.

3.1. Sử dụng sigcheck: Xác minh các module được ký bởi các nhà cung cấp đáng tin cậy bằng cách sử dụng công cụ signtool hoặc sigcheck của Microsoft.

3.2. Sử dụng YARA rule của ESET: Bước 1: Tải và cài đặt Yara phiên bản mới nhất từ đường dẫn: https://github.com/Virustotal/yara/releases

Bước 2: Tải xuống tệp yara rule của ESET từ đường dẫn: https://github.com/eset/malware-ioc/blob/master/badiis/badiis.yar

Bước 3: Chạy yara với tệp luật đã tải.

4. Gỡ bỏ các IIS module độc hại: Sau khi thu thập mẫu nghi ngờ mã độc, có thể kiểm tra các mẫu trên Virustotal hoặc đối chiếu lại danh sách các module cần thiết của trang web. Trong trường hợp kết quả là mã độc hoặc là module không sử dụng đến, tiến hành phối hợp với đơn vị chủ quản để xóa bỏ.
5. Giảm thiểu khả năng bị tấn công trên máy chủ IIS: Thường xuyên cập nhật bản và hệ điều hành và xem xét cẩn thận những dịch vụ nào được tiếp xúc với internet để giảm nguy cơ khai thác máy chủ (Nguồn: Công an Hà Nội).

Để giảm thiểu nguy cơ bị tấn công và chèn link độc hại, các tổ chức và doanh nghiệp cần chủ động thực hiện các biện pháp bảo mật toàn diện. Đầu tiên, việc rà soát định kỳ toàn bộ hệ thống website là vô cùng quan trọng, đặc biệt là kiểm tra kỹ lưỡng các trang mã nguồn. Cần đặc biệt chú ý đến những tệp tin mới được tạo hoặc có thời gian tạo khác biệt so với các tệp khác trong cùng thư mục, vì đây có thể là dấu hiệu của việc chèn mã độc. Đồng thời, việc thay đổi mật khẩu quản trị và mật khẩu truy cập cơ sở dữ liệu định kỳ, đặc biệt là khi sử dụng mật khẩu yếu, cũng là một biện pháp phòng ngừa hiệu quả.

Ngoài ra, để đảm bảo an ninh mạng một cách toàn diện, các tổ chức và doanh nghiệp nên thực hiện đánh giá tổng thể hệ thống, xác định các lỗ hổng bảo mật tiềm ẩn và triển khai các giải pháp bảo mật chuyên nghiệp. Việc sử dụng các công cụ giám sát tự động để phát hiện các thay đổi bất thường trên website cũng là một giải pháp hữu ích, giúp phản ứng kịp thời và ngăn chặn các cuộc tấn công tiềm ẩn.

Giới thiệu chung về VNIS

Nền tảng VNIS là giải pháp bảo mật Web/App/API toàn diện của Công ty Cổ phần VNETWORK. Với hơn 2,300 điểm kết nối trên toàn cầu, giải pháp VNIS cung cấp khả năng xử lý lưu lượng traffic lên đến 2,600 Tbps, cùng sự hỗ trợ đội ngũ chuyên gia và hệ thống SOC (Security Operation Center) luôn đảm bảo sẵn sàng ứng phó kịp thời trong mọi tình huống tấn công, giúp đảm bảo rằng website của doanh nghiệp luôn hoạt động ổn định với độ tin cậy 100%.

Được trang bị WAF, Anti-DDoS, Bot Manager cùng nhiều tính năng khác, VNIS cung cấp giải pháp bảo mật nâng cao, chống tấn công từ các lỗ hổng bảo mật và khả năng chặn đứng hoàn toàn các cuộc tấn công DDoS lớn và tinh vi để bảo vệ an toàn cho hệ thống doanh nghiệp.

Trước khi triển khai Giải pháp VNIS

Trước khi triển khai giải pháp VNIS, website doanh nghiệp bị khai thác lỗ hổng, sau đó kẻ tấn công sẽ sử dụng các công cụ để lập chỉ mục (index) các liên kết độc hại. Nếu Google lập chỉ mục các liên kết này, chúng sẽ tiếp cận được một lượng lớn người dùng thông qua kết quả tìm kiếm. Kẻ tấn công có thể sử dụng các hệ thống khác để tăng lưu lượng truy cập vào các liên kết độc hại này, khiến các công cụ tìm kiếm như Google nhận định chúng là các trang web phổ biến và tiếp tục ưu tiên lập chỉ mục. Điều này đồng nghĩa với việc kẻ tấn công có thể dễ dàng lập chỉ mục các trang web độc hại mà không cần thông qua Google Search Console của doanh nghiệp. Khiến website doanh nghiệp đối mặt với nguy cơ bị đánh giá thấp về chất lượng, ảnh hưởng tiêu cực đến uy tín thương hiệu và trải nghiệm người dùng.

Website bị index nhiều các link cờ bạc trên SERP

Website bị index nhiều các link cá độ trên SERP

Thông qua việc kiểm tra trên Google Search Console, doanh nghiệp có thể nhận thấy rõ sự gia tăng đáng kể về lưu lượng truy cập (traffic) và số lượt nhấp chuột (click) từ các từ khóa (keyword) và trang (URL) có liên quan đến cá độ, cá cược, cờ bạc, đá gà...

Các từ khóa độc hại có lượt hiển thị và click cao trên website (3 tháng trước)

Các trang (URL) độc hại có lượt hiển thị và click cao trên website (3 tháng trước)

Sau khi triển khai Giải pháp VNIS

Giải pháp VNIS ngăn chặn hiệu quả việc chuyển hướng đến các trang web cờ bạc, cá cược độc hại bằng cách trả về mã trạng thái HTTP 404 khi người dùng truy cập, báo hiệu trang web không tồn tại trên máy chủ, do VNIS đã chủ động lọc và chặn các liên kết độc hại. Việc này mang lại nhiều lợi ích quan trọng:

• Răn đe kẻ tấn công: Khi liên tục gặp lỗi 404, kẻ tấn công sẽ nhận ra website đã được bảo vệ và vá các lỗ hổng, từ đó giảm thiểu khả năng tái tấn công.
• Ngăn chặn lây lan: Các công cụ tìm kiếm như Google sẽ nhận biết các URL (keyword) độc hại này không có giá trị do liên tục trả về lỗi 404. Điều này giúp các URL này không được lập chỉ mục. Giảm thiểu đáng kể khả năng phát triển và lây lan của các cuộc tấn công chèn liên kết độc hại.

Trang đích của URL độc hại hiển thị mã trạng thái HTTP 404

Lượng traffic độc hại vào website giảm đáng kể sau khi triển khai giải pháp VNIS

Các từ khóa không liên quan đã được xóa khỏi website (hiện tại)

Các URL (link) không liên quan đã được xóa khỏi website (hiện tại)

Bên cạnh đó, VNIS còn có khả năng phát hiện các hoạt động khai thác lỗ hổng (hoạt động mà doanh nghiệp khó có thể kiểm soát được) trên website trong thời gian thực. Điều này giúp doanh nghiệp xác định chính xác các URL đang bị khai thác hoặc chiếm quyền kiểm soát, từ đó chủ động vá các lỗ hổng và ngăn chặn kịp thời các cuộc tấn công tiềm ẩn.

Mô hình bảo mật toàn diện của nền tảng VNIS

Trong bối cảnh an ninh mạng trở thành ưu tiên hàng đầu, việc chủ động ứng phó với các nguy cơ tiềm ẩn, đặc biệt là tình trạng chèn link độc hại, là yếu tố then chốt để duy trì sự ổn định và uy tín của website.

Nền tảng bảo mật VNIS của VNETWORK không chỉ giúp ngăn chặn và khắc phục tình trạng chèn link độc hại mà còn cung cấp các công cụ giám sát, cảnh báo và hỗ trợ kỹ thuật chuyên nghiệp, đảm bảo hoạt động trực tuyến của doanh nghiệp luôn ổn định và an toàn. Để biết thông tin chi tiết và nhận báo giá, vui lòng liên hệ với chúng tôi qua Hotline: +84 (028) 7306 8789 hoặc email: contact@vnetwork.vn.