Nếu bạn là một chuyên gia tìm và gỡ các loại mã độc được đính kèm trong website thì có lẽ đã không phải tìm đọc bài viết này, và hầu hết những người dùng WordPress của chúng ta đều hạn chế các kỹ năng xử lý sau khi website bị chèn mã độc/virus hoặc tệ hơn là bị hack.
Do đó, nếu bạn đã thất bại trong việc bảo mật website khỏi bị các cuộc tấn công thì bạn vẫn còn có cơ hội khôi phục website sau khi bị hack.
Và ở bài này, mình sẽ đề cập một xíu những việc nên làm và không nên làm, những công cụ nên sử dụng sau khi website bị hack để hỗ trợ phần nào trong việc vực dậy website từ “chiến trường đẫm máu”.
Backup dữ liệu – Việc tối thiểu phải làm
Nếu bây giờ website của bạn chưa bị hacker viếng thăm nhưng chưa sử dụng các phương thức sao lưu dữ liệu dự phòng thì hãy làm ngay bây giờ, càng sớm càng tốt và sao lưu càng thường xuyên càng tốt.
Việc khôi phục các dữ liệu dự phòng nếu có biến cố xảy ra luôn là việc làm đầu tiên khi xảy ra tình trạng bị hack vì có thể các mã độc đã được gắn vào rất nhiều file trong hàng vạn file khác nhau trong mã nguồn. Cho nên việc tìm và sửa từng file sẽ vô cùng mất thời gian mà hãy để việc đó sau, việc bạn nên làm nếu có một dữ liệu dự phòng đó là:
- Xóa toàn bộ file mã nguồn và database hiện có.
- Khôi phục lại dữ liệu dự phòng.
- Áp dụng các phương thức bảo mật cơ bản và hạn chế local hack.
Nói tóm lại, dù website bạn nhỏ hay to thì việc sao lưu dữ liệu dự phòng luôn rất rất quan trọng.
Các công cụ phát hiện mã độc
Mặc dù có thể bạn đã sao lưu lại dữ liệu dự phòng nhưng biết đâu được trong dữ liệu dự phòng lại có các file bị nhiễm mã độc, nên mình nghĩ bạn nên sử dụng ít nhất một công cụ phát hiện mã độc uy tín có trả phí như Sucuri hoặc 6Scan Basic, 2 công cụ này đều hỗ trợ quét mã độc trong toàn bộ mã nguồn hàng giờ hoặc hàng ngày, sau đó những kỹ thuật viên sẽ giúp bạn gỡ sạch toàn bộ mã độc này.
Giao diện Sucuri – Ảnh: Thạch Phạm
Nếu bạn chưa có điều kiện sử dụng 2 dịch vụ trả phí ở trên thì cũng có khá nhiều lựa chọn miễn phí khác, đó là các plugin phát hiện mã độc có trong website mặc dù có thể nó làm việc không tốt cho lắm, nhưng có còn hơn không. Đặc biệt bạn nên kiểm tra file.htaccess trên host (nếu có) xem nó có bị chèn các đoạn mã độc trái phép hay không, kiểu như tự chèn iframe, redirect,…
Nếu bạn có thể tải mã nguồn về máy tính để tìm thủ công thì càng tốt, bạn có thể nhờ các công cụ hỗ trợ tìm kiếm từ khóa gì đó trong các file bằng công cụ như FileSeek (Windows) để tìm mã độc thông qua các từ khóa như base64_decode, gzinflate(base64_decode, eval(gzinflate(base64_decode, eval(base64_decode,..Dưới đây là ví dụ của một đoạn mã độc:
<?php eval(base64_decode( ZWNobygiTG9yZW0gaXBzdW0gZG9sb3Igc2l0IGFtZXQsIGNvbnNlY3RldHVyIGFkaXBpc2ljaW5n IGVsaXQsIHNlZCBkbyBlaXVzbW9kIHRlbXBvciBpbmNpZGlkdW50IHV0IGxhYm9yZSBldCBkb2xv cmUgbWFnbmEgYWxpcXVhLiBVdCBlbmltIGFkIG1pbmltIHZlbmlhbSwgcXVpcyBub3N0cnVkIGV4 ZXJjaXRhdGlvbiB1bGxhbWNvIGxhYm9yaXMgbmlzaSB1dCBhbGlxdWlwIGV4IGVhIGNvbW1vZG8g Y29uc2VxdWF0LiBEdWlzIGF1dGUgaXJ1cmUgZG9sb3IgaW4gcmVwcmVoZW5kZXJpdCBpbiB2b2x1 cHRhdGUgdmVsaXQgZXNzZSBjaWxsdW0gZG9sb3JlIGV1IGZ1Z2lhdCBudWxsYSBwYXJpYXR1ci4g RXhjZXB0ZXVyIHNpbnQgb2NjYWVjYXQgY3VwaWRhdGF0IG5vbiBwcm9pZGVudCwgc3VudCBpbiBj dWxwYSBxdWkgb2ZmaWNpYSBkZXNlcnVudCBtb2xsaXQgYW5pbSBpZCBlc3QgbGFib3J1bS4iKTs= ));?>
Nếu bạn sử dụng máy chủ hoặc sử dụng hệ điều hành Linux thì có công cụ Linux Malware Detect (LMD) rất hay và dễ sử dụng trong việc tìm kiếm các loại mã độc.
Theo dõi sau khi phục hồi
Ảnh: Thạch Phạm
Đừng quá chủ quan sau khi bạn khôi phục hoặc gỡ bỏ hoàn toàn các mã độc có trên website vì rất có thể bạn sẽ tiếp tục bị lại nếu như chưa xóa mã độc triệt để hoặc website chứa lỗ hổng. Vì vậy hãy nên theo dõi sát sao hoạt động của website sau khi hoạt động để xem các mã độc nếu được nhiễm lại thì xuất phát từ file nào, nó thâm nhập và sửa đổi file nào,…Trong WordPress có 2 công cụ rất tốt để làm việc này đó là WP Changes Tracker và WP Security Audit Log, cả 2 plugin này đều có chức năng theo dõi các hoạt động thay đổi trong website và mã nguồn.
Một số lời khuyên nhỏ để website an toàn hơn
- Không bao giờ đặt username là admin hoặc tương tự như vậy.
- Luôn đặt mật khẩu phức tạp và sử dụng các công cụ lưu mật khẩu như LastPass, StickyPassword, 1Password để đăng nhập.
- Không bao giờ sử dụng theme/plugin trả phí tải miễn phí từ người/website không rõ uy tín, nguồn gốc.
- Đừng bao giờ cài cái gì vào website theo sự chỉ đạo của một người chưa rõ uy tín hoặc gửi qua mail/Facebook,…
- Nên chặn một số quốc gia có tỷ lệ hacker/spammer cao và khốn nạn nhất thế giới như Trung Quốc, Nga, Ukraina, Ba Lan, Thổ Nhĩ Kỳ, Pakistan, Ấn Độ, Iraq, United Arab Empire.
- Nếu phát hiện website bị dính mã độc, điều đầu tiên là đóng website ngay lập tức.
- Luôn sử dụng plugin iThemes Security.
- Đừng bao giờ nghe ai mà CHMOD file/thư mục thành 777 hoặc 775. Cao nhất chỉ nên là 755.
- Đừng bao giờ sử dụng theme/plugin có sử dụng timthumb.php.
Lời kết
Ở trên là một số kinh nghiệm của mình trong các việc nên làm sau khi phát hiện website chứa mã độc mà bất cứ ai cũng có thể làm được, không cần hiểu biết quá sâu về bảo mật hệ thống. Nếu bạn có những kinh nghiệm nào khác hay hơn, mình rất vui khi nhận được các chia sẻ đó của bạn.