Hướng dẫn xử lý mã độc

Hướng dẫn xử lý mã độc
5 (100%) 1 phiếu

Website bị nhiễm mã độc đang là nỗi lo chung không những người dùng mà các lập trình viên cũng phải đau đầu tìm cách xử lý dứt điểm, tại bài viết này, chúng tôi xin hướng dẫn tới các bạn cách sử dụng công cụ quét mã độc imunify 360 và các bước xử lý mã độc cơ bản.

Imunify360 là một giải pháp bảo mật thông minh theo cơ chế tự học (AI) dựa trên báo cáo từ các máy chủ trên toàn cầu, giúp bảo vệ website của bạn tránh nhiễm và phát tán mã độc, ngăn chặn tin tặc (hacker) tiếp cận đến máy chủ, … qua đó giúp cho website trở nên an toàn hơn.

Với 6 lớp bảo mật, Imunify360 cung cấp giải pháp bảo mật toàn diện chống lại các cuộc tấn công gây hại đến hệ thống máy chủ. Cập nhật bản vá lỗi PHP mà không gây gián đoạn hoạt động của máy chủ.

I. Xem và xử lý mã độc trên Imunify360

1. Truy cập vào imunify 360:

A. Cpanel Panel:

B. Plesk Panel:

2. Hướng dẫn sử dụng imunify 360:

A. Tab Files: Xử lý file mã độc

1/ View file: Xem đoạn mã của file nhiễm mã độc.

2/ Restore from quarantine: Khôi phục từ kiểm dịch.

3/ Setting: tùy chỉnh.

a/ Add to ignore list: Thêm đường dẫn file vào danh sách không quét mã độc.

b/ Delete permanently: Xóa vĩnh viễn.

B. Tab History: Lịch sử quét các file bị nhiễm mã độc

Tại tab này sẽ hiển thị tất cả các file malware đã bị cách ly.

C. Tab Ignore list: Danh sách bỏ qua

Tại Tab này, ban có thể thêm 1 hoặc nhiều file vào danh sách ignore list (được hiễu là danh sách bỏ qua khi công cụ imunify360 quét mã độc, tính năng này không khuyến khích người dùng sử dụng vì nếu file mã độc không được xử lý triệt để rất có thể nó sẽ lây nhiễm làm hư hại nặng nề cho website của bạn).

Để thêm vào danh sách này, bạn click vào nút “Add new file or directory“, tại đây bạn có thể thêm file hoặc folder cần bỏ qua.

Ví dụ: Để thêm folder vào danh sách này, đường dẫn phải chính xác theo cầu trức của mõi môi trường Hosting:

  • cPanel Panel: /home/xxxxxx/public_html/… (xxxxxx là username của hosting mà bạn đang sử dụng, “…” là đường dẫn tới file hoặc folder cần bỏ qua).
  • Plesk Panel: /var/www/vhosts/domain/httpdocs/… (domain là tên miền củahosting mà bạn đang sử dụng, “…” là đường dẫn tới file hoặc folder cần bỏ qua).
D. Setting: Cài đặt cấu hình

Tại đây, các bạn có thể tùy chọn chế độ khi công cụ quét mã độc phát hiện sẽ thực hiện chức năng sau:

  • Delete permanently: Xóa vĩnh viễn file mã độc.
  • Quarantine file: Cách lý tới vùng an toàn (đã phân quyền ko thể đoc/ghi/xóa).
  • Just display in dashboard: Chỉ cảnh báo.
E. Quy định và thỏa thuận sử dụng:

Tất cả têp file bị nghi ngờ sẽ bị đưa vào vùng cách ly trong vòng 7 ngày nếu không xử lý sẽ bị delete vĩnh viễn.

Đây là tất cả thao tác để kiểm tra và xử lý mã độc trên website WordPress. Với imunify 360, bạn nên thường xuyên rà soát để website của mình an toàn và hoạt động ổn định.

II. Xử lý các file nhiễm mã độc

Lưu ý: Bạn cần nắm rõ các thao tác xử lý cơ bản của Imunify 360 trước khi thực hiện các thao tác sau.
Đầu tiên ta cần nhận biết các tập tin mà Imunify 360 đang cách ly có phải là của mã nguồn WordPress hay không. Ta có 2 dạng như sau:

1. Các tập tin có tên lạ:

Được hiểu như là các tập tin được tạo ra tự động do các câu lệnh của hacker. Các file này thường có dạng *.php (với * là tên bất kỳ ví dụ: w.php, x.php,… ), nội dung gồm các câu lệnh với mục đích đánh cấp dữ liệu cũng như phá hoại website.
Cách xử lý: Đối với trường hợp này ta thực hiện Delete permanently: xóa vĩnh viễn các file này.

2. Các tập tin của mã nguồn WordPress:

Bao gồm WordPress Core Theme/Plugins được người dùng thêm vào trong quá trình thiết kế website.

A. WordPress Core:

WordPress Core hay còn gọi là Nhân WordPress được định nghĩa là các files mặc định có sẵn khi cài đặt WordPress. Nói cách khác WordPress Core là tất cả những tập tin và thư mục ngoại trừ plugin và themes được người dùng cài đặt vào khi thiết kế wesbite. WordPress Core thường là các file có sẵn ngoại trừ thư mục wp-content.

Các phần mềm Malware mạnh thường lây lan bằng cách chèn thêm code vào các files WordPress core hoặc thêm vào các thư mục của WordPress core một số files mới. Nên khi Website bị nhiễm mã độc ta phải thay toàn bộ code với WordPress core gốc được tải về từ WordPress.org sẽ giúp chúng ta phục hồi code Websites sạch sẽ. Tuy nhiên để thực hiện điều này cần làm đúng theo trình tự các bước sau:

Bước 1:
Kiểm tra mức độ chỉnh sửa
Xác định rằng website của bạn hoàn toàn không điều chỉnh gì trong các file core của WordPress. Trường hợp đã điều chỉnh một số file ta cần phải tách những file này ra ngoài trước khi thực hiện thay WordPress core.

Bước 2: Kiểm tra phiên bản WordPress
Xác định phiên bản WordPress hiện tại của bạn. Để xác định phiên bản hiện tại bạn vào đường dẫn sau: httpdocs/wp-includes/ ( đối với hositng sử dụng Plesk ) hoặc public_html/wp-includes ( đối với hositng sử dụng Cpanel ) và tenmien/wp-includes ( đối với các addon domain, sub domain ). Sau đó tìm và mở file version.php, rất nhanh chóng ta có thể nhận thấy đoạn code $wp_version = ‘5.2.1’ –  tức phiên bản hiện tại của bạn là 5.2.1.
Bước 3: Upload WordPress Core
Truy cập vào website wordpress.org và download đúng phiên bản WordPress đã kiểm tra ở bước 2. Bạn có thể truy cập nhanh vào link sau: https://wordpress.org/download/releases/
Tiến hành giải nén tập tin vừa download ta nhận được thư mục WordPress. Trong mục này tiến hành xóa thư mục wp-content (chứa plugins, template và media) và file wp-config.php (file cấu hình kết nối cơ sở dữ liệu).

Sau khi xóa folder wp-content và file wp-config.php ta nén tất cả dưới dạng .zip rồi upload lên hosting rồi tiến hành giải nén.

Bạn cần tick vào tùy chọn Replace existing files để ghi đè các tập tin.

Cuối cùng ta truy cập lại website để kiểm tra. Thông thường website sẽ hoạt động lại bình thường nếu mức độ nhiễm malware nhẹ. Tuy nhiên nếu website vẫn chưa thể truy cập bạn cần thực tiếp theo Phần B: Themes/Plugins

B. Themes/Plugins

Là những tập tin được người dùng bổ sung trong quá trình thiết kế website WordPress. Tuy nhiên, đây cũng là thành phần dễ bị nhiễm malware nhất trong mã nguồn WordPress.

Để xử lý, đầu tiên ta cần xác định được nguồn gốc của các themes/plugins đang bị nhiễm mã độc. Có 2 dạng:

  1. Themes/Plugins được download từ thư viện WordPress.org hoặc mua từ các trang uy tín chuyên cung cấp Themes/plugins cho người dùng WordPress ( themeforest.com, envato.com, themefuse.com,… ).
  2. Themes/Plugins được lập trình và thiết kế riêng bởi lập trình viên (developer).

Cách xử lý: cũng tương tự như đối với WordPress Core. Sau khi xác định các tập tin nhiễm mã độc từ Themes/Plugins, ta thực hiện như sau:

Bước 1: Xác định phiên bản của Themes/Plugins đang chứa các tập tin nhiễm mã độc

Đối với Plugin ta truy cập vào wp-contens/plugins. Tìm thư mục của plugin, mở tập tin trùng tên với tên thư mục của plugin. Ví dụ plugin Akismet với thư mục là akismet, ta mở thư mục này, tìm và click mở tập tin akismet.php để xem nội dung.

Tại dòng Version ta có thể nhận biết được phiên bản hiện tại của Plugin là 4.1.2.

Lưu ý: Tùy theo mõi Plugin mà lập trình viên có thể khai báo thông số version tại các file khác nhau, theo kinh nghiệm của tôi thì, các phiên bản plugin mới sau khi update thì website vẫn có thể hoạt động bình thường, trừ các trường hợp cá biệt là sau khi cập nhật plugin phiên bản cao thì các function thay đổi cú pháp dẫn tới lỗi giao diện.

Đối với Theme, ta truy cập vào thư mục của theme với đường dẫn wp-content/theme. Ví dụ theme Twenty Nineteen với thư mục là twentynineteen, ta mở thư mục này, tìm và click mở tập tin style.css để xem nội dung.
Tại dòng Version ta có thể nhận biết được phiên bản hiện tại của theme hiện tại là 1.4.

Lưu ý: Cũng như plugin, tùy theo mõi Theme mà lập trình viên có thể khai báo thông số version tại các file khác nhau, theo kinh nghiệm của tôi thì, các phiên bản theme mới sau khi update thì website vẫn có thể hoạt động bình thường.

Bước 2: Download phiên bản của Themes/Plugins tương ứng với phiên bản mà ta đã xác định tại Bước 1 từ thư viện WordPress.org hoặc nhà cung cấp theme mà bạn đã mua. Tuy nhiên đối với các Themes/Plugins được lập trình bởi các lập trình viên ta cần liên hệ và nhờ cung cấp lại Themes/Plugins hoặc tìm trong tập tin của mã nguồn khi bàn giao website, các file backup trước đó để cập nhật lại Theme.

Bước 3: Upload Themes/Plugins
Ta thực hiện khôi phục lại các tập tin trong danh sách của Imunify 360 có đường dẫn trong thư mục wp-content mà ta đã loại trừ ở Phần A. Click chọn Not malware restore from quarantine để các tập tin được khôi phục.
Tương tự bước 4 của Phần A, ta thực hiện upload đồng thời ghi đè lên các tập tin tương ứng từ file Themes/Plugins đã download tại Bước 2. Cần lưu ý upload các tập tin sao cho đúng đường dẫn.

III. Hướng dẫn bảo mật website

Để đảm bảo website hoạt động ổn định và liên tục, chúng tôi khuyến nghị bạn thực hiện đầy đủ các thao tác sau: