Cách xử lý mã độc tiếng nước ngoài [Nhật Bản] THÀNH CÔNG 100%

Đối với mã nguồn mở nỗi tiếng như WordPress, chuyện dính mã độc là chuyện xãy ra thường ngày ở huyện thôi. Bởi vì sao? Vì sao mà một mã nguồn nỗi tiếng và mạnh mẽ như vậy lại dễ dính mã độc vậy. Vậy cách xử lý mã độc tiếng nước ngoài như nào để hiệu quả. Goodweb xin hướng dẫn bạn chi tiết nhé. Nếu bạn nào không am hiểu kĩ thuật lắm, có thể liên hệ admin. Goodweb hiện cung cấp dịch vụ xử lý mã độc và chống DDOS

1. Nguyên nhân khiến website dính mã độc

Từ việc bị nhòm ngó cho đến bị dính mã độc có thể kể đến những nguyên nhân sau:

• Cài đặt các plugin kém an toàn: Plugin là các thành phần mở rộng giúp Website có thêm các tính năng theo nhu cầu. Mặc dù đội ngũ quản lý WordPress.org họ có kiểm duyệt các plugin từ cộng đồng đóng góp trên WordPress.Org tuy nhiên không thể tránh khỏi việc nhiều plugin có các lỗ hổng, hoặc theo thời gian không được vá lỗi nên hacker dễ dàng khai thác. Cách tốt nhất khi chọn plugin là ưu tiên plugin được tác giả cập nhật thường xuyên, được vote cao (Ngoài ra cũng xem các plugin đó những người Vote 1 sao, lý do vì sao họ lại cho đánh giá thấp như vậy)
• Sử dụng theme wordpress miễn phí, không bản quyền (Null): Đây là nguyên nhân phổ biến nhất. Rất nhiều theme trên mạng được share và tải miễn phí. Nhưng khi bạn tải themes thì hacker (hoặc người chia sẻ) đã chèn một đoạn mã độc vào bên trong đó nên quá dễ dàng để họ khai thác. Lời khuyên là sử dụng themes có bản quyền, hoặc themes miễn phí từ nguồn uy tín.
• Đặt mật khẩu admin quản lý nội dung quá dễ đoán. Hacker thường xuyên dò pass, pass dễ đoán thì đương nhiên không an toàn rồi
• Theme tự phát triển riêng nhưng có chứa lỗi bảo mật.
• Cài đặt theme chứa sẵn virus hoặc theme có lỗ hổng bảo mật bị hacker khai thác.
• Khi wordpress có các bản vá lỗi mà người dùng không cập nhật.

Và bạn yên tâm, bị dính Virus cùng lắm bị rớt TOP thôi chứ không chết ai cả. Và bởi vì mình đã từng bị dính nhiều lần nên rất có kinh nghiệm trong việc loại bỏ triệt để mã độc trong code WordPress và có cách xóa nhanh index xấu, index tiếng Nhật trên Google tìm kiếm.

2. Dấu hiệu nhận biết

3. Cách xử lý mã độc

3.1. BACK UP mã nguồn

Bạn sao lưu (backup) dữ liệu bản Website hiện tại, và tải về máy. (làm gì cũng phải sao lưu lại trước tiên) bao gồm: Source Code và Database

3.2. Dùng các công cụ để quét mã nguồn

Có 3 công cụ chính: VirusTotal, Wordfence, Kaspersky để xử lý mã độc trước mắt

3.3. Dò thủ công

Các công cụ trên chỉ hỗ trợ một phần. Điều chính là bạn cần biết thêm chút code để dò thủ công.

– Kiểm tra và xóa file .htaccess cũ, đăng nhập vào trang quản trị và thực hiện cập nhật permalink để tạo lại file .htaccess mới.

– Kiểm tra file wp-blog-header.php, XMLRPC xem có bị gắn shell, nếu có hãy loại bỏ đoạn code shell

– Xóa file sitemap.xml cũ đi, tạo lại sitemap mới

– Tìm và xóa tất cả file shell .php trong thư mục wp-content/uploads trên hosting. Trường hợp nếu ko tìm được thì tốt nhất bạn nên chặn thực thi php trong thư mục này bằng cách tạo file .htaccess trong uploads, dán code này vào:

– Kiểm tra và xóa tất cả các user lạ do hacker tạo ra (nếu có)

3.4. Thay core wordpress

Bước 1: Tải core WordPress về

Bạn hãy truy cập vào wordpress.org sau đó tìm phiên bản muốn sử dụng. Và mình khuyến khích các bạn nên tải bản mới nhất. Tại thời điểm mình đang viết bài này thì là bản WordPress 6.0.1 (July 12, 2022)

Ở đây bạn chọn định dạng muốn tải về. Mình sẽ chọn bản ZIP

Sau khi tải về xong thì bạn tiến hành giải nén file ra, và bạn sẽ thấy các thư mục và file của WordPress như này. Ngay bây giờ bạn sẽ xoá bỏ thư mục wp-content mặc định của WordPress đi.

Sở dĩ chúng ta cần xoá bỏ thư mục này thì ở trên server/host đã có rồi, nếu ta không xoá thì khi mang lên sẽ bị trùng và dẫn đến mất dữ liệu (theme, plugin, content). Vì vậy tốt hơn hết bạn hãy xoá ngay sau khi giải nén ở máy tính.

Bước 2: Đóng gói lại core WordPress

Khi đã xoá thư mục xong. Bây giờ bạn hãy nén lại toan bộ các file và thư mục lại thành một file mới.

Sau khi nén xong bạn sẽ có một file zip không có wp-content. Đây chính là file chính trong bài hôm nay.

Bước 3: Upload file đã nén lên Server/Host

Bằng các phương thức truyền file bạn quen sử dụng (Upload trực tiếp hoặc qua FTP,SFTP), bạn hãy upload file đã nén lên trên host. Ở đây mình dùng cPanel nên chỉ cần vào File Manager là có thể upload file lên.

Khi tải lên hoàn tất vào thư mục của web cần thay, bạn hãy giải nén file ra bằng cách chọn Extract. Khi được hỏi là bạn có muốn ghi đè/thay thế không thì bạn hãy chọn Yes.

3.5. Thay themes và plugins cũ

Sử dụng các sản phẩm có bản quyền, không phải bản nulled.

3.6. Xóa bài viết, trang

Xóa các nội dung do virus tự động thêm

3.7. Khóa wp-config

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);

3.7. Xóa index xấu, index tiếng Nhật trên Google cho website

Cài đặt Addon Chrome dùng để xem kết quả tìm kiếm trên Google mà không cần phải bấm qua trang (Mục đích là để hiển thị toàn bộ link index Google trong một trang duy nhất)

Link Download Addon Chrome: gInfinity

Tạo 1 bookmark: chrome://bookmarks/

Nội dung:

javascript:(function(){output='<html><head><title>SEO SERP Extraction Tool</title><style type=\'text/css\'>body,table{font-family:Tahoma,Verdana,Segoe,sans-serif;font-size:11px;color:#000}h1,h2,th{color:#405850}th{text-align:left}h2{font-size:11px;margin-bottom:3px}</style></head><body>'; output+='<table><tbody><tr><td><a href=\'https://www.chrisains.com\'><img src=\'https://www.chrisains.com/wp-content/uploads/2015/06/chrisains.com-logo1.png\'></a></td><td><h1>SEO SERP Extraction Tool</h1></td></tr></tbody></table>'; pageAnchors=document.getElementsByTagName('a'); divClasses=document.getElementsByTagName('div'); var linkcount=0;var linkLocation=''; var linkAnchorText=''; output+='<table><th>ID</th><th>Link</th><th>Anchor</th>'; for(i=0;i<pageAnchors.length;i++){ if(pageAnchors[i].parentNode.parentNode.getAttribute('class')!='iUh30'){ var anchorText = pageAnchors[i].textContent; var anchorLink = pageAnchors[i].href; var linkAnchor = anchorLink + '\t'+anchorText; var anchorID = pageAnchors[i].id; if(anchorLink!=''){ if(anchorLink.match(/^((?!google\.|cache|blogger.com|\.yahoo\.|youtube\.com\/\?gl=|youtube\.com\/results|javascript:|api\.technorati\.com|botw\.org\/search|del\.icio\.us\/url\/check|digg\.com\/search|search\.twitter\.com\/search|search\.yahoo\.com\/search|siteanalytics\.compete\.com|tools\.seobook\.com\/general\/keyword\/suggestions|web\.archive\.org\/web\/|whois\.domaintools\.com|www\.alexa\.com\/data\/details\/main|www\.bloglines\.com\/search|www\.majesticseo\.com\/search\.php|www\.semrush\.com\/info\/|www\.semrush\.com\/search\.php|www\.stumbleupon\.com\/url|wikipedia.org\/wiki\/Special:Search).)*$/i)){ if(anchorID.match(/^((?!hdtb_more|hdtb_tls|uh_hl).)*$/i)){ linkLocation+=anchorLink+'<br />'; linkAnchorText+=anchorText+'<br />'; linkcount++; if (anchorText === undefined) anchorText = pageAnchors[i].innerText;output+='<tr>'; output+='<td>'+linkcount+'</td>'; output+='<td>'+pageAnchors[i].href+'</a></td>'; output+='<td>'+anchorText+'</td>'; output+='</tr>\n'; } } } } } output+='</table><br/><h2>URL List</h2><div>'; output+=linkLocation;output+='</div><br/><h2>Anchor Text List</h2><div>'; output+=linkAnchorText;output+='<br/>%C2%A0<br/><p align=center><a href=\'https://www.chrisains.com\'>www.chrisains.com</a></p>'; with(window.open()){document.write(output);document.close();}})();

Vào công cụ xóa URL của Google Webmaster với đường dẫn sau đây:

https://www.google.com/webmasters/tools/url-removal

Tiến hành xóa các link xấu là các bạn đã xử lý mã độc tiếng nước ngoài.