Sau 1 tuần tìm hiểu và fix gần chục website nhiễm mã độc của khách hàng mới đây Plugin Elementor The Plus Add-ons, mình chia sẻ cách xử lý đối với các web đã nhiễm mã độc dẫn qua trang dontkinhooot
So với các đợt website đã nhiễm mã độc lần trước thì đợt này số lượng file nhiễm nhiều hơn, bao gồm cả file javascript, php và cả database. Website bị nhiễm trong tầm 3 ngày thì không vào được trang WP-ADMIN luôn. Hiện tại các website WordPress đang sử dụng plugin Elementor The Plus Add-on phiên bản Pro (Bản trả phí hiện tại chưa bị ảnh hưởng), cần cập nhật ngay lập tức lên bản cập nhật 4.1.7
Tình trạng website nhiễm mã độc: Website tự chuyển hướng khi truy cập
Truy cập vào website bị tấn công sẽ bị chuyển hướng về địa chỉ: *.dontkinhooot.tw/walkers?id=* trên giao diện người dùng lẫn trang quản trị wp-admin.
Lưu ý: Tuyệt đối không đồng ý bất kỳ thông báo nào để tránh nhiễm mã độc và Ransomeware. (Hình ảnh trong bài viết được thực hiện bởi chuyên gia và đội ngũ kỹ thuật có kinh nghiệm)
Kiểm tra mã nguồn website nhiễm mã độc
Kiểm tra mã nguồn website nhiễm mã độc sẽ thấy xuất hiện các đoạn “mã lạ” tương tư như sau:
a) Trong tất cả các file Javascript (*.js)
Element.prototype.appendAfter = function(element) {element.parentNode.insertBefore (this, element.nextSibling);}, false;(function() { var elem = document.createElement (String.fromCharCode(***)); elem.type = String.fromCharCode(****)…
Lưu ý với lỗi 0-day của plugin Elementor The Plus Add-on, TẤT CẢ CÁC FILE *.JS TRONG SOURCE WEB VÀ CẢ CÁC FOLDER CON BÊN TRONG ĐỀU BỊ LÂY NHIỄM.
echo chr(60).chr(115).chr(99).chr(114) .chr(105).chr(112).chr(116). chr(32).chr(116).chr(121) .chr(112).chr(101).chr(61) .chr(39).chr(116) .chr(101). chr(120).chr(116) .chr(47).chr(106) .chr(97).chr(118).chr(97) .chr(115).chr(99) .chr(114).chr(105).chr(112) .chr(116).chr(39).chr(32).chr(115) .chr(114) .chr(99).chr(61) .chr(39).chr(104)….
Website nhiễm mã độc: Mã độc trong database của website
Với đợt tấn công mới nhất này, Hacker không chỉ thay đổi mã nguồn các file trên Host mà còn chèn mã javascript chuyển hướng trong tất cả các bài viết (Table wp_posts):
Cách xử lý đối với các website nhiễm mã độc dẫn qua trang dontkinhooot
- Bước 1: Thay đổi ngay lập tức Mật khẩu database (Đợt này hacker có tấn công vào database)
- Bước 2: Đừng cố gắng Backup website đã bị nhiễm mã độc, truy cập vào database sẽ thấy trong folder wp-posts những đoạn được chèn vào trong các row. Replace hết những đoạn này.
- Bước 3: Nén toàn bộ mã nguồn website bị nhiễm mã độc và tải về máy, mình dùng Visual Code để có thể tìm nhanh nội dung trong Folder và thay thế hàng loạt file bị nhiễm mã độc
- Bước 4: Nén folder mã nguồn đã xoá các đoạn mã độc, upload lại lên Hosting và giải nén. Tại bước này các bạn thử nhiều lần cho đến khi website không bị chuyển hướng nữa
- Bước 5: Cài đặt plugin Wordfence miễn phí, tiến hành Scan để tìm các file WordPress Core bị thay đổi (nếu có)
- Kiểm tra lại website đã nhiễm mã độc trong ít nhất 3-5 ngày.
Có thể bạn quan tâm:
Một số câu hỏi thường gặp liên quan tới dịch vụ SEO tổng thể tại Seeu Agency
1. Thời gian hợp đồng SEO bao lâu?
Thời gian triển khai dự án SEO từ cơ bản (3-6 tháng) đến tổng thể (8-12 tháng).
2. Tôi muốn thanh toán theo từng giai đoạn?
Có! SeeU.vn sẽ nhận chi phí theo từng giai đoạn của hợp đồng. Được chia ra theo giai đoạn:
– Mỗi tháng
– Mỗi quý
3. Bạn có công khai thông tin dự án của tôi?
Không! SeeU.vn không bao giờ công khai (public) dự án của khách hàng lên trên website, fanpage… trừ khi được sự chấp thuận từ khách hàng.
4. Bạn có nhận SEO cho một khách hàng cùng lĩnh vực của tôi?
Không! Để tránh bị lộ thông tin cũng như đạo đức nghề nghiệp SeeU.vn cam kết không nhận SEO cho hai doanh nghiệp làm cùng lĩnh vực một lúc.
5. Chúng tôi không biết dự tính ngân sách triển khai SEO?
Bạn không cần quá lo lắng, SeeU.vn sẽ hỗ trợ và tư vấn để giúp doanh nghiệp bạn lựa chọn ngân sách phù hợp, tiết kiệm nhằm tiếp cận khách hàng tiềm năng một cách tối đa.
———————–
SeeU.vn – Để khách hàng luôn tìm thấy bạn
– Website: www.SeeU.vn