Giới thiệu
Thời gian gần đây, rất nhiều website gặp tình trạng xuất hiện hàng loạt đường dẫn lạ mang nội dung cá cược, xổ số, hoặc quảng cáo các dịch vụ không liên quan. Các đường dẫn này thường có dạng như /bet/, /game/, /ios/, và khi tìm kiếm tên miền trên Google, chúng vẫn hiện ra trong kết quả tìm kiếm dù hoàn toàn không tồn tại trên website thật. Điều đáng nói là khi kiểm tra mã nguồn, không hề phát hiện có mã độc hay tệp tin đáng ngờ nào.
Đây là dấu hiệu cho thấy website có thể đang bị tấn công theo kiểu Spam URL Injection hoặc Cloaking SEO Spam, hai hình thức tấn công tinh vi này thường được các đối tượng xấu (Black Hat SEO) sử dụng với mục đích chính là lợi dụng các website có độ uy tín để phục vụ cho các hoạt động SEO bẩn, spam từ khóa, hoặc chuyển hướng người dùng đến trang độc hại. Vậy cụ thể hai hình thức này là gì, chúng hoạt động như thế nào và làm sao để phòng chống? Cùng mình tìm hiểu chi tiết trong nội dung dưới đây.
Dưới đây là hình ảnh thực tế website đang bị Spam URL Injection/Cloaking SEO Spam.
Giải thích
Spam URL Injection là gì?
Spam URL Injection là hình thức tấn công mà kẻ xấu cố tình tạo ra các request có đường dẫn (URL) giả mạo vào website của bạn. Ví dụ như bên dưới:
https://yourdomain.com/?bet/xo-so
https://yourdomain.com/?app/game
Những đường dẫn này bản chất đều không tồn tại thật và chúng cũng không được tạo ra trên website hay máy chủ của bạn, cũng không cần chèn mã độc vào mã nguồn. Hacker chỉ cần gửi nhiều truy vấn (request) ảo đến website với các URL có định dạng trên, sau đó sử dụng các công cụ tự động submit các URL này lên Google hoặc các công cụ tìm kiếm khác. Do các URL này khi truy cập sẽ có mã HTTP 200, nên Google sẽ hiểu nhầm rằng đây là các URL hợp lệ và tiến hành index nội dung đó.
Cloaking SEO Spam là gì?
Cloaking SEO Spam là kỹ thuật tinh vi hơn, Hacker sẽ chèn code độc hại vào website của bạn và chức năng của đoạn code này là đánh lừa công cụ tìm kiếm bằng cách hiển thị nội dung khác nhau cho Googlebot (hoặc các crawler) so với nội dung hiển thị cho người dùng thật. Tức là:
- Người dùng bình thường truy cập: sẽ không thấy các nội dung spam.
- Googlebot (trình thu thập dữ liệu của Google): sẽ hiển thị nội dung spam và thu thập các nội dung spam đó.
Kỹ thuật này thường được thực hiện bằng cách kiểm tra User-Agent trong truy vấn HTTP hoặc sử dụng JavaScript để phân biệt trình duyệt và Googlebot, từ đó trả về kết quả theo đúng nội dung mà Hacker đã thiết lập sẵn. Việc này khiến người dùng khó phát hiện hơn, từ đó giúp Hacker có thêm nhiều thời gian để thực hiện spam.
Bên dưới là một số đoạn code mình ghi nhận được trong quá trình xử lý cho khách hàng, các bạn có thể xem qua và tìm kiếm thử trên website của mình.
- Chèn đoạn mã PHP để kiểm tra “User-Agent” hoặc IP:
<?php
$userAgent = $_SERVER['HTTP_USER_AGENT'];
if (strpos($userAgent, 'Googlebot') !== false || strpos($userAgent, 'Bingbot') !== false) {
echo '<h1>Free Casino Games | Sbobet | Lô đề online</h1>';
echo '<p>Play now at the best casino...</p>';
exit;
} else {
// Người dùng thật → load trang bình thường
include('index-original.php');
}
?>- Chèn JavaScript vào header.php, footer.php, functions.php..vv của website, redirect người dùng thật và giữ Googlebot lại để đọc nội dung spam
<script>
if (!navigator.userAgent.includes("Googlebot")) {
window.location.href = "https://spam-domain.com";
}
</script>- Chèn vào cấu hình .htaccess hoặc Server
RewriteCond %{HTTP_USER_AGENT} (googlebot|bingbot) [NC]
RewriteRule ^.*$ spam-page.html [L]Nếu website của bạn rơi vào trường hợp này, thì bạn cần phải kiểm tra và loại bỏ code độc hại này ra khỏi website càng sớm càng tốt. Bạn có thể liên hệ các đơn vị có chuyên môn hoặc nếu đã có kiến thức về website thì bạn có thể tham khảo tài liệu: Hướng dẫn xử lý mã độc trên website WordPress
Mục đích spam
- Tăng thứ hạng cho các từ khóa spam (casino, game, xổ số, v.v.) bằng cách lợi dụng các Domain uy tín.
- Lừa người dùng truy cập các trang cá cược hoặc độc hại thông qua kết quả tìm kiếm Google.
- Làm tổn hại uy tín SEO của website, dẫn đến mất thứ hạng, giảm traffic, và nguy cơ bị Google phạt.
Cách khắc phục:
- Cấu hình trạng thái HTTP 410 cho các URL không tồn tại hoặc Spam: Tại đây
- Sử dụng các công cụ như Imunify360 hay Plugin (Wordfence/Anti-Malware Security) để scan website định kỳ: Tại đây
- Cấu hình robots.txt để Disallow các từ khóa spam: Tại đây
- Chặn các Request bẩn trên Hosting/Server
- Cài đặt các Plugin bảo mật cho website.
Kết luận
Spam URL Injection và Cloaking SEO Spam là những hình thức tấn công tinh vi, lặng lẽ nhưng có sức phá hoại lớn đối với các website. Chúng không chỉ ảnh hưởng đến trải nghiệm người dùng và thứ hạng tìm kiếm, chúng còn làm mất uy tín nghiêm trọng đến thương hiệu trong mắt khách hàng và đối tác. Để phát hiện và bảo vệ website khỏi những mối đe dọa này, người dùng cần thường xuyên kiểm tra các URL được index thông qua Google Search Console hoặc các công cụ SEO. Hy vọng qua bài viết trên các bạn sẽ hiểu rõ hơn về cách thức hoạt động của các dạng spam này, từ đó có cách phòng chống hiệu quả.
Chúc các bạn thực hiện thành công.!
