KHUYẾN MÃISự trở lại World Cup – Tặng thêm 20% credits cho tất cả gói Pro đến hết 31/07/2026
Nâng cấp

🔒 Dữ liệu bản miễn phí có thể được dùng để cải thiện AI. Nâng cấp Pro để bảo mật tuyệt đối

🇺🇸 English🇻🇳 Tiếng Việt
Tin khẩn cấp: Website của tôi bị dính mã độc SEO Cloaking – Trời đất ơi, chuyện gì đang xảy ra vậy?!

Tin khẩn cấp: Website của tôi bị dính mã độc SEO Cloaking – Trời đất ơi, chuyện gì đang xảy ra vậy?!

2025-11-19 08:40 | 6 phút đọc | 258 lượt xem | Tác giả: Nguyễn Thái (Kỹ sư phần mềm)

😱 Một buổi sáng “sốc tận óc”

Hôm nay tôi vô tình kiểm tra lại website của mình – một trang hoàn toàn bình thường, sạch sẽ.

Nhưng rồi tôi phát hiện một điều khiến tôi suýt rớt khỏi ghế:

Khi tôi dùng lệnh curl -A "Googlebot" https://domaincuatoi.com, trang web trả về hàng trăm đường link cá cược: lucky88, bet88, five88…

Tôi ngỡ ngàng. “Ủa, cái gì đây? Mình có làm đâu?”

Trang tôi thấy bằng trình duyệt thì sạch, nhưng Googlebot – con bot thu thập dữ liệu của Google – lại thấy một website đánh bạc.


💀 Sự thật đằng sau: Bị tấn công SEO Cloaking!

Đây là một dạng tấn công mã độc rất tinh vi, gọi là SEO cloaking.

Kẻ tấn công chèn mã độc vào web, khiến:

  1. Người truy cập thật → thấy nội dung sạch.
  2. Googlebot → thấy hàng trăm link cá cược.

🎯 Mục tiêu của hacker:

  1. Lợi dụng domain sạch của bạn (Google tin tưởng).
  2. Đẩy SEO cho web cá cược, tránh bị Google phạt.


🧩 Tôi phát hiện bằng cách nào?

Tôi nghi ngờ khi thấy trong Google Search Console xuất hiện hơn 200 trang bị index lạ.

Tôi thử kiểm tra bằng lệnh:


curl -A "Googlebot" https://domaincuatoi.com

Và kết quả khiến tôi chết điếng:

Toàn HTML bị thay thế bằng hàng trăm link dẫn tới web đánh bạc khắp nơi 😭


⚙️ Hacker đã làm điều đó ra sao?

Sau khi kiểm tra sâu:

  1. script ẩn trong thư mục /public hoặc /api, dùng để phát hiện “Googlebot”.
  2. Khi bot truy cập, script này render ra HTML spam chứa hàng trăm liên kết cá cược.
  3. Còn người thật vào trang → vẫn thấy nội dung bình thường.


🧰 Cách tôi xử lý khẩn cấp


  1. Tải toàn bộ source về local và quét toàn bộ:

grep -R "Googlebot" .
grep -R "eval(" .
grep -R "base64" .
grep -R "iframe" .

→ Phát hiện script cloaking, xóa sạch.


B2: Build lại web sạch (Next.js / .NET)

→ Không copy bất kỳ file nào từ bản cũ.


B3: Đổi toàn bộ password (FTP, SSH, DB, admin).


B4: Dọn sạch Google Search Console:

  1. Xóa tất cả URL spam (/casino/, /bet/, /ios_...).
  2. Gửi sitemap mới.
  3. Yêu cầu Google “Crawl lại toàn site”.


B5: Thiết lập Firewall Cloudflare:


(http.user_agent contains "Googlebot") and (not ip.src in {Google's real IP ranges})
→ block


B6: Theo dõi định kỳ:


curl -A "Googlebot" https://yourdomain.com


B7: Nếu kết quả ra đúng HTML của site → sạch.


💡 Bài học xương máu

  1. Đừng bao giờ chủ quan: website tĩnh vẫn có thể bị cấy mã độc.
  2. Luôn deploy từ source sạch, không copy build cũ.
  3. Dùng Cloudflare Firewall, bật xác thực 2 lớp.
  4. Kiểm tra curl -A "Googlebot" định kỳ để phát hiện cloaking sớm.
  5. Theo dõi Search Console mỗi tuần.


🧱 Kết

"Website sạch chưa chắc sạch với Google."
“Chỉ một dòng mã độc, domain của bạn có thể biến thành sòng bạc ảo.”

Hôm nay là một bài học đắt giá —


Tôi chia sẻ lại để ai đang vận hành website (dù nhỏ đến đâu)

hãy kiểm tra ngay hôm nay:


curl -A "Googlebot" https://yourdomain.com

Biết đâu, bạn cũng sẽ phải thốt lên:

“Trời đất ơi… coi kìa!”

Frequently Asked Questions

Q: SEO Cloaking có thể khiến web bị phạt không?

A: Có. Google có thể hạ thứ hạng nghiêm trọng hoặc xoá index domain của bạn.

Q: Web tĩnh có bị hack không?

A: Có. Hacker có thể cấy mã vào các file build, file trên hosting, hoặc khai thác backdoor trong admin tool.

Q: Chỉ plugin bảo mật là đủ chưa?

A: Không. Cần kiểm tra cả server-side (điển hình: các endpoint, file permissions, cron jobs) — không chỉ dựa vào plugin.

Q: Một script nhỏ có phá cả domain không?

A: Có. Chỉ một dòng mã ẩn cũng có thể biến site thành trang cá cược hoặc spam, gây mất index và uy tín.

Was this article helpful?

Latest from Our Blog

Không có bài viết nào