Tình trạng
- Website bị chèn link bet, nội dung bet trên SERP.
- Truy cập các link trên từ SERP về hoặc truy cập trực tiếp đều bị chuyển hướng tới link chứa nội dung bet.
- Website sử dụng mã nguồn ASP và chạy trên web server IIS.
Nhận định
Do truy cập từ SERP hay truy cập trực tiếp dùng User-Agent bình thường (Không dùng User-Agent của Googlebot) đều thể hiện nội dung bẩn. Vì vậy, xác định đây không phải là tình huống Content tàng hình (mình đã trình bày phần này ở Offline Nghiện SEO hồi đầu năm).
Content tàng hình trên server IIS thường được thực hiện bằng cách cài thêm module vào IIS để can thiệp luồng xử lý và không để lại dấu vết gì trong source code. Do trường hợp này không phải là content tàng hình nên mình sẽ chuyển hướng tìm mã độc trong source code.
Truy vết mã độc
Do trên Windows sẽ khó xử lý sâu, mình download source code về máy local (MacOS) để tiện xử lý.
Mình scan mã độc trong source => phát hiện ra 1 file malware với tính năng kết nối đến remote server để nhận lệnh & nội dung cần chèn vào website.
Dựa theo các chữ ký liên quan đến file mã độc được phát hiện: như C&C server, code, đặc biệt là upload date (29/05) mình khoanh vùng và móc ra tiếp khoảng 50 malware khác được cài cắm khắp nơi
Dò tìm các file khác (ngoài các malware) được chỉnh sửa xung quanh ngày 29/05, mình thấy ngày 05/05 có 1 đợt cập nhật code liên quan nhiều module.
Đọc các code có 1 điểm làm mình chú là sự xuất hiện của module “Tekerik UI”. Telerik UI là một module khá phổ biến để giúp xây dựng giao diện cho các ứng dụng Web. Tuy nhiên, module này cũng có tồn tại lỗ hổng bảo mật cho phép attacker upload file (CVE-2017-9248) hoặc thực thi lệnh bất kỳ (CVE-2019-18935) trên hệ thống.
Kiểm tra DDL Telerik của IIS thì thấy Module được cập nhật vào ngày 05/05, cùng ngày upload code.
Kiểm tra version của Telerik thì xác nhận dính 2 lỗi bảo mật trên.
Nguyên nhân
Tới đây, mình có thể hình dung toàn bộ quá trình như sau:
- Ngày 05/05 website tiến hành cập nhật code có liên quan module Telerik UI.
- Ngày 29/05, hệ thống bị khai thác lỗi bảo mật của Telerik để đưa mã độc lên server.
- Sau khi có backdoor, attacker đã truy cập và cài thêm nhiều mã độc khác.
- Mã độc có nhiệm vụ connect về C&C server để nhận lệnh & nội dung để hiển thị.
- Các nội dung đó được Index và xuất hiện trên SERP.
Mình trao đổi lại các proof mình tìm thấy với admin quản trị website, đối chiếu log và được xác nhận diễn biến đúng như kết quả điều tra được.
Xử lý
- Remove toàn bộ mã độc.
- Chuyển server, cài mới lại hệ thống.
- Thay đổi các mật khẩu liên quan.
- Cập nhật module của IIS.
- Trích xuất URL liên quan bet trên GSC và chạy Tool Submit Remove Index Auto.
Trích: Nguyễn Hưng (Bo) – Admin Vietnix