Hướng dẫn xử lý mã độc

Website bị nhiễm mã độc đang là nỗi lo chung không những người dùng mà các lập trình viên cũng phải đau đầu tìm cách xử lý dứt điểm, tại bài viết này, chúng tôi xin hướng dẫn tới các bạn cách sử dụng công cụ quét mã độc imunify 360 và các bước xử lý mã độc cơ bản.

Imunify360 là một giải pháp bảo mật thông minh theo cơ chế tự học (AI) dựa trên báo cáo từ các máy chủ trên toàn cầu, giúp bảo vệ website của bạn tránh nhiễm và phát tán mã độc, ngăn chặn tin tặc (hacker) tiếp cận đến máy chủ, … qua đó giúp cho website trở nên an toàn hơn.

Với 6 lớp bảo mật, Imunify360 cung cấp giải pháp bảo mật toàn diện chống lại các cuộc tấn công gây hại đến hệ thống máy chủ. Cập nhật bản vá lỗi PHP mà không gây gián đoạn hoạt động của máy chủ.

Gợi Ý

Cách truy cập vào Imunify360

Hiện tại, Mắt Bão đang cung cấp 2 công cụ quản trị Hosting phổ biến đó là Plesk và cPanel, để truy cập vào Imunify360, bạn làm theo hướng dẫn bên dưới.

Công cụ Plesk

Công cụ quản trị Hosting Plesk hiện đang sử dụng cho các dịch vụ lưu trữ Hosting như: WordPressLinuxWindows.

Công cụ cPanel

Công cụ quản trị Hosting cPanel hiện đang sử dụng cho các dịch vụ lưu trữ Hosting như: LinuxWindows.

Hướng dẫn sử dụng imunify 360

Files: Xử lý file mã độc

Imunify360 → Files. Tại đây, các tập tin đang bị nhiễm mã độc sẽ được liệt kê chi tiết.

Các chức năng chính:

  • Start scanning: Tiến hành quét mã độc.
  • Scan day: Hiển thị thời gian chính xác khi tập tin được phát hiện là độc hại
  • File: Đường dẫn nơi tập tin nhiễm mã độc
  • Reason: Lý do bị phát hiện mã độc.
    • Được đinh danh bằng các ký tự mô tả mã độc, bạn có thể xem chi tiết tại đây.
  • Status: Trang thái
    • Infected: Mối đe dọa đã được phát hiện sau khi quét. Nếu một tập tin không được làm sạch sau khi dọn dẹp, biểu tượng thông tin được hiển thị. Di chuột qua biểu tượng thông tin để hiển thị lý do.
    • Cleaned: Tập tin bị nhiễm đã được dọn sạch.
    • Content removed: Nội dung đã được xóa
    • Cleanup queued: Tập tin bị nhiễm được xếp hàng để dọn dẹp.
  • View file: Nhấp vào biểu tượng con mắt để xem nội dung tập tin. Chỉ 100Kb đầu tiên của nội dung tệp sẽ được hiển thị (trong trường hợp nếu một tệp có kích thước lớn 100Kb).
  • Restore from quarantine: Khôi phục từ cách ly.
  • Delete permanently: Xóa tập tin nhiễm mã độc vĩnh viễn.

History: Lịch sử quét các file bị nhiễm mã độc

Imunify360 → History. Tại đây, bạn có thể xem lịch sử các tập tin đã cách ly do bị nhiễm mã độc trước đó.

  • Date: Thời gian cách ly.
  • Path to File: Đường dẫn nơi tập tin nhiễm mã độc.
  • Cause: Nguyên nhân cách ly
    • Manual: Thực hiện thủ công từ người dùng.
    • On-demand: Thực hiện theo yêu cầu của người dùng.
    • Real time: Hệ thống xử lý tự động.
  • Initiator: Người dùng thực hiện.
  • Event: Sự kiện hành động
    • Detected as malicious: Phát hiện là bị nhiễm mã độc.
    • Cleaned: Các tập tin đã làm sạch.
    • Failed to clean up: Đã gặp sự cố khi dọn dẹp, di chuột vào biểu tương thông tin để tìm hiểu thêm.
    • Added to Ignore List: Tệp đã được thêm vào Danh sách bỏ qua. Imunify360 sẽ không quét lại nó.
    • Restored original: Nội dung tập tin đã được khôi phục là không chứa độc hại.
    • Cleanup removed content: Nội dung tập tin đã xóa sau khi làm sạch.
    • Deleted from Ignore List: Tập tin đã bị xóa khỏi Danh sách bỏ qua. Imunify360 sẽ quét nó.
    • Deleted: Tập tin đã xóa.
    • Submitted for analysis: tập tin đã được gửi cho nhóm Imunify để phân tích.
    • Failed to delete: Đã xảy ra sự cố trong quá trình xóa. Di chuột qua biểu tượng thông tin để đọc thêm.
    • Failed to ignore: Đã xảy ra sự cố trong quá trình thêm vào Danh sách bỏ qua. Di chuột qua biểu tượng thông tin để đọc thêm.
    • Failed to delete from ignore: Đã xảy ra sự cố trong quá trình xóa khỏi Danh sách bỏ qua. Di chuột qua biểu tượng thông tin để đọc thêm.

Proactive Defense: Chủ động phòng thủ mã độc

Imunify360 → Proactive Defense. Tại đây, bạn có thể thêm các tập tin vào danh sách bỏ qua khỏi qua quá trình quét mã độc.

  • Mode Setting: Chế độ cài đặt.
    • Disabled: Tắt tính năng.
    • Log only: Chỉ hiển thị nhật ký hoạt động.
    • Kill Mode: Xóa tập tin ngay khi phát hiện nhiễm mã độc. Đảm bảo mức độ bảo vệ cao nhất
  • Detection Date/Time: Thời gian phát hiện.
  • Description: Mô tả
  • Script Path: Đường dẫn nơi tập tin nhiễm mã độc.
  • First script call form: Địa chỉ IP gọi đầu tiên.
  • Actions: Hành động.
    • View file content: Nhấp vào biểu tượng con mắt để xem nội dung tập tin. Chỉ 100Kb đầu tiên của nội dung tệp sẽ được hiển thị (trong trường hợp nếu một tệp có kích thước lớn 100Kb).
    • Ignore detected rule for the file: Thêm vào danh sách bỏ qua.
    • Ignore all rule for the file: Thêm vào danh sách bỏ qua tất cả quy tắc (không khuyên dùng).

Setting: Cài đặt cấu hình

Tại đây, các bạn có thể tùy chọn chế độ khi công cụ quét mã độc phát hiện sẽ thực hiện chức năng sau:

  • Malware: Hành động mặc định khi phát hiện mã độc.
    • Delete permanently: Xóa vĩnh viễn file mã độc.
    • Quarantine file: Cách lý tới vùng an toàn (đã phân quyền ko thể đoc/ghi/xóa).
    • Just display in dashboard: Chỉ cảnh báo.
  • Proactive Defense: Theo dõi thực thi mã php độc hại và báo cáo cho CloudLinux để cải thiện khả năng bảo vệ máy chủ Imunify360.

Quy định và thỏa thuận sử dụng

Tất cả têp file bị nghi ngờ sẽ bị đưa vào vùng cách ly trong vòng 7 ngày nếu không xử lý sẽ bị delete vĩnh viễn.

Đây là tất cả thao tác để kiểm tra và xử lý mã độc trên website WordPress. Với imunify 360, bạn nên thường xuyên rà soát để website của mình an toàn và hoạt động ổn định.

Xử lý các file nhiễm mã độc

Lưu ý: Bạn cần nắm rõ các thao tác xử lý cơ bản của Imunify 360 trước khi thực hiện các thao tác sau.
Đầu tiên ta cần nhận biết các tập tin mà Imunify 360 đang cách ly có phải là của mã nguồn WordPress hay không. Ta có 2 dạng như sau:

Các tập tin có tên lạ

Được hiểu như là các tập tin được tạo ra tự động do các câu lệnh của hacker. Các file này thường có dạng *.php (với * là tên bất kỳ ví dụ: w.php, x.php,… ), nội dung gồm các câu lệnh với mục đích đánh cấp dữ liệu cũng như phá hoại website.
Cách xử lý: Đối với trường hợp này ta thực hiện Delete permanently: xóa vĩnh viễn các file này.

Các tập tin của mã nguồn WordPress:

Bao gồm WordPress Core  Theme/Plugins được người dùng thêm vào trong quá trình thiết kế website.

WordPress Core:

WordPress Core hay còn gọi là Nhân WordPress được định nghĩa là các files mặc định có sẵn khi cài đặt WordPress. Nói cách khác WordPress Core là tất cả những tập tin và thư mục ngoại trừ plugin và themes được người dùng cài đặt vào khi thiết kế wesbite. WordPress Core thường là các file có sẵn ngoại trừ thư mục wp-content.

Các phần mềm Malware mạnh thường lây lan bằng cách chèn thêm code vào các files WordPress core hoặc thêm vào các thư mục của WordPress core một số files mới. Nên khi Website bị nhiễm mã độc ta phải thay toàn bộ code với WordPress core gốc được tải về từ WordPress.org sẽ giúp chúng ta phục hồi code Websites sạch sẽ. Tuy nhiên để thực hiện điều này cần làm đúng theo trình tự các bước sau:

Bước 1:
 Kiểm tra mức độ chỉnh sửa
Xác định rằng website của bạn hoàn toàn không điều chỉnh gì trong các file core của WordPress. Trường hợp đã điều chỉnh một số file ta cần phải tách những file này ra ngoài trước khi thực hiện thay WordPress core.

Bước 2: Kiểm tra phiên bản WordPress
Xác định phiên bản WordPress hiện tại của bạn. Để xác định phiên bản hiện tại bạn vào đường dẫn sau: httpdocs/wp-includes/ ( đối với hositng sử dụng Plesk ) hoặc public_html/wp-includes ( đối với hositng sử dụng Cpanel ) và tenmien/wp-includes ( đối với các addon domain, sub domain ). Sau đó tìm và mở file version.php, rất nhanh chóng ta có thể nhận thấy đoạn code $wp_version = ‘5.2.1’ –  tức phiên bản hiện tại của bạn là 5.2.1.
Bước 3: Upload WordPress Core
Truy cập vào website wordpress.org và download đúng phiên bản WordPress đã kiểm tra ở bước 2. Bạn có thể truy cập nhanh vào link sau: https://wordpress.org/download/releases/
Tiến hành giải nén tập tin vừa download ta nhận được thư mục WordPress. Trong mục này tiến hành xóa thư mục wp-content (chứa plugins, template và media) và file wp-config.php (file cấu hình kết nối cơ sở dữ liệu).

Sau khi xóa folder wp-content và file wp-config.php ta nén tất cả dưới dạng .zip rồi upload lên hosting rồi tiến hành giải nén.

Bạn cần tick vào tùy chọn Replace existing files để ghi đè các tập tin.

Cuối cùng ta truy cập lại website để kiểm tra. Thông thường website sẽ hoạt động lại bình thường nếu mức độ nhiễm malware nhẹ. Tuy nhiên nếu website vẫn chưa thể truy cập bạn cần thực tiếp theo Phần B: Themes/Plugins

Themes/Plugins

Là những tập tin được người dùng bổ sung trong quá trình thiết kế website WordPress. Tuy nhiên, đây cũng là thành phần dễ bị nhiễm malware nhất trong mã nguồn WordPress.

Để xử lý, đầu tiên ta cần xác định được nguồn gốc của các themes/plugins đang bị nhiễm mã độc. Có 2 dạng:

  1. Themes/Plugins được download từ thư viện WordPress.org hoặc mua từ các trang uy tín chuyên cung cấp Themes/plugins cho người dùng WordPress ( themeforest.com, envato.com, themefuse.com,… ).
  2. Themes/Plugins được lập trình và thiết kế riêng bởi lập trình viên (developer).

Cách xử lý: cũng tương tự như đối với WordPress Core. Sau khi xác định các tập tin nhiễm mã độc từ Themes/Plugins, ta thực hiện như sau:

Bước 1: Xác định phiên bản của Themes/Plugins đang chứa các tập tin nhiễm mã độc

Đối với Plugin ta truy cập vào wp-contens/plugins. Tìm thư mục của plugin, mở tập tin trùng tên với tên thư mục của plugin. Ví dụ plugin Akismet với thư mục là akismet, ta mở thư mục này, tìm và click mở tập tin akismet.php để xem nội dung.

Tại dòng Version ta có thể nhận biết được phiên bản hiện tại của Plugin là 4.1.2.

Lưu ý: Tùy theo mõi Plugin mà lập trình viên có thể khai báo thông số version tại các file khác nhau, theo kinh nghiệm của tôi thì, các phiên bản plugin mới sau khi update thì website vẫn có thể hoạt động bình thường, trừ các trường hợp cá biệt là sau khi cập nhật plugin phiên bản cao thì các function thay đổi cú pháp dẫn tới lỗi giao diện.

Đối với Theme, ta truy cập vào thư mục của theme với đường dẫn wp-content/theme. Ví dụ theme Twenty Nineteen với thư mục là twentynineteen, ta mở thư mục này, tìm và click mở tập tin style.css để xem nội dung.
Tại dòng Version ta có thể nhận biết được phiên bản hiện tại của theme hiện tại là 1.4.

Lưu ý: Cũng như plugin, tùy theo mõi Theme mà lập trình viên có thể khai báo thông số version tại các file khác nhau, theo kinh nghiệm của tôi thì, các phiên bản theme mới sau khi update thì website vẫn có thể hoạt động bình thường.

Bước 2: Download phiên bản của Themes/Plugins tương ứng với phiên bản mà ta đã xác định tại Bước 1 từ thư viện WordPress.org hoặc nhà cung cấp theme mà bạn đã mua. Tuy nhiên đối với các Themes/Plugins được lập trình bởi các lập trình viên ta cần liên hệ và nhờ cung cấp lại Themes/Plugins hoặc tìm trong tập tin của mã nguồn khi bàn giao website, các file backup trước đó để cập nhật lại Theme.

Bước 3: Upload Themes/Plugins
Ta thực hiện khôi phục lại các tập tin trong danh sách của Imunify 360 có đường dẫn trong thư mục wp-content mà ta đã loại trừ ở Phần A. Click chọn Not malware restore from quarantine để các tập tin được khôi phục.
Tương tự bước 4 của Phần A, ta thực hiện upload đồng thời ghi đè lên các tập tin tương ứng từ file Themes/Plugins đã download tại Bước 2. Cần lưu ý upload các tập tin sao cho đúng đường dẫn.

Hướng dẫn bảo mật website

Để đảm bảo website hoạt động ổn định và liên tục, chúng tôi khuyến nghị bạn thực hiện đầy đủ các thao tác sau:

  • Đối với các mã nguồn mở WordPressJoomlaDrupalMagentoOpenCart,…:
    • Bạn nên thường xuyên cập nhật phiên bản mới để vá các lỗ hổng bảo mật.
    • Cài đặt và cập nhật Plugin, Extension.. có nguồn gốc rõ ràng, tin cậy.
    • Dành riêng cho WordPress:
      • Hướng dẫn bảo mật WordPress thông qua 12 bước
      • Hướng dẫn sửa lỗi website bị cảnh báo chứa phần mềm độc hại
      • Cách bảo vệ website WordPress bằng Wordfence Security
      • Hướng dẫn bảo mật website WordPress với iTheme Security
      • Hướng dẫn kích hoạt bảo mật 2 lớp cho website WordPress
      • Vô hiệu hóa XML-RPC để bảo mật WordPress tốt hơn
      • Cách ngăn chặn để hạn chế Local Attack cho website WordPress
      • Danh sách Plugin Blacklist và những lưu ý về an toàn bảo mật cho website WordPress
  • Thay đổi mật khẩu quản trị hosting, website, tài khoản ID Mắt Bão … với độ khó cao.
  • Định kỳ backup lại dữ liệu website/hosting hoặc backup mỗi khi có thay đổi lớn về nội dung/dữ liệu. Bạn có thể xem hướng dẫn backup dữ liệu hosting tại:
    • cPanel:
    • Plesk:
  • Sử dụng dịch vụ Backup Pro, đặt lịch sao lưu dữ liệu định kỳ.
  • Nếu bạn đang sử dụng website WordPress thì hãy đăng ký ngay WordPress Hosting v3 có tích hợp chức năng sao lưu tự động không chiếm dụng tài nguyên Hosting của bạn.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *