Đặc điểm nhận dạng: Hacker thực hiện mã hóa database và đòi tiền chuộc là Bitcoin để được giải mã, khi login vào phpmyadmin để xem dữ liệu của database thì sẽ thấy có 1 table tên "WARNING", khi mở table này lên sẽ thấy có thông báo như bên dưới.
"To recover your lost database and avoid leaking it send us 0.1 bitcoin"
Bạn vui lòng không thực hiện các yêu cầu này từ phía hacker.
Kiểm tra log truy cập thì thấy website bị tấn công và thực hiện các script như hình bên dưới
Để tạm thời khắc phục, bạn tiến hành giới hạn các IP được phép truy cập phpmyadmin để import database nhằm hạn chế bị tấn công bằng cách ssh vào server sau đó đi đến thư mục /var/www/html/phpMyAdmin rồi tạo file .htaccess với nội dung bên dưới sau đó lưu file lại.
order deny,allowdeny from allallow from xxx
Truy cập
ip.pavietnam.vn để xem IP WAN của bạn sau đó thay xxx với xxx là IP WAN của bạn. Bạn có thể thêm nhiều IP theo mẫu ở trên.
Kiểm tra một số web bị hack PA Vietnam thấy rằng khi bị lỗ hổng có thể truy cập domain/.env khi đó toàn bộ nội dung của file .env (file chứa thông số khai báo kết nối database) sẽ hiển thị trên trình duyệt.
Bổ sung thêm nội dung bên dưới vào file .htaccess của các website sử dụng Laravel để không cho truy cập file .env từ link website
<Files .env> Order allow,deny Deny from all </Files> <Files composer.json> Order allow,deny Deny from all </Files>
Để đảm bảo an toàn cho dữ liệu bạn nên thường xuyên backup các dữ liệu quan trọng trên server, đặc biệt là database.
Báo phía thiết kế web của bạn kiểm tra và vá các lỗ hổng bảo mật của website (cập nhật phiên bản mới nhất của mã nguồn nếu có thể).