Xóa mã độc malware pub2srv khỏi website WordPress và OpenCart
Gần đây có nhiều website mã nguồn WordPress và OpenCart bị nhiễm một loại mã độc malware đặc biệt, được biết đến với cái tên: pub2srv. Nó khiến chuyển hướng người xem website đã bị nhiễm mã độc này của bạn đến các trang “không an toàn” khác, như go.pub2srv[.]com, go.mobisla[.]com, go.oclaserver[.com] gây ra nhiều hậu quả khó chịu. Vậy làm thế nào để loại bỏ Malware nguy hiểm này ra khỏi website của bạn?
Mã độc malware pub2srv là gì? triệu chứng của nó?
Pub2srv là một loại mã độc quảng cáo bẩn (Ad-Malware) khi được cài vào các trang website mã nguồn OpenCart & WordPress chúng sẽ khiến website của bạn chuyển hướng đến các trang web spam. Khi người dùng click vào các trang của website bị nhiễm mã độc trên, một cửa sổ bật lên (pop-up) mở ra có chứa quảng cáo và các trang lừa đảo, hoặc người xem bị chuyển hướng đến các trang spam, không an toàn đó.
Malwarei pub2srv đưa mã JavaScript độc hại vào mã nguồn của trang web gây ra chuyển hướng hoặc cửa sổ bật lên. Trong trường hợp Opencart nó được gây ra do lỗ hổng SQL injection (SQL injection vulnerabilities) trong cửa hàng (store), cho phép hacker thêm mã độc vào cơ sở dữ liệu database. Trong trường hợp của WordPress, tin tặc có thể sửa đổi tệp index.php hoặc functions.php để chèn mã độc.
Các triệu chứng điển hình của website bị dính mã độc malware này:
- Khách truy cập trang web của bạn đang chuyển hướng đến các trang web spam có quảng cáo, khiêu dâm, trang lừa đảo
- Cửa sổ bật lên trên thiết bị di động nhắc bạn cài đặt ứng dụng
- Các plugin dựa trên AJAX ngừng hoạt động (Vd: TablePress, DataTables, v.v.)
- Bị liệt vào danh sách đen Black List của Google
- Mã JavaScript không được công nhận bởi Mã nguồn OpenCart hoặc WordPress
Hậu quả khi website bị dính Malware
Vì nguyên nhân cơ bản của phần mềm độc hại này là lỗ hổng SQL injection (SQLi), kẻ tấn công có thể:
- Thêm, xóa, chỉnh sửa hoặc đọc nội dung trong cơ sở dữ liệu
- Đọc mã nguồn từ các tệp trên máy chủ cơ sở dữ liệu
- Ghi tệp vào máy chủ cơ sở dữ liệu
- Ăn cắp hồ sơ người dùng và mật khẩu của trang web WordPress / Opencart của bạn
- Trộm cắp thông tin giao dịch trong các cửa hàng OpenCart / WooCommerce của bạn
- Thực hiện spam SEO trên miền của bạn dẫn đến danh sách cấm của Google Webmasters
Làm thế nào để xóa mã độc pub2srv malware khỏi trang website của bạn?
Trong OpenCart, malware thường lây nhiễm vào cơ sở dữ liệu và đặt mã độc của nó trong các bảng cơ sở dữ liệu sau:
- oc_product_description table (Product Descriptions)
- oc_category_description table (Category Descriptions)
Làm theo các bước sau để loại bỏ mã độc hại khỏi cơ sở dữ liệu OpenCart của bạn:
- Xem trước các bảng cơ sở dữ liệu bằng cách sử dụng một công cụ như phpMyAdmin hoặc Sequel Pro
- Mở bảng ‘oc_category_description’ và kiểm tra các giá trị trong cột ‘mô tả’.
- Bạn sẽ thấy một số đoạn mã JavaScript như hình dưới đây
- Thực thi đoạn mã SQL sau đây sau khi thực hiện các thay thế cần thiết:
- Lặp lại tất cả các bước trên cho bảng oc_product_description
Trong WordPress, mã độc malware thường được tìm thấy trong các file:
- index.php
- functions.php
- Database
Làm theo các bước sau để xóa mã độc hại khỏi máy chủ WordPress của bạn:
- Mở tệp index.php (thư mục public_html) và wp-content/themes/tên-theme/functions.php trên hosting/server của bạn
- Tìm kiếm mã không quen thuộc/các đoạn mã hóa lạ trong các tệp này. Bạn có thể tìm thấy mã tương tự như:
- Nếu bạn tìm thấy mã độc hại trong một trong các tệp này, bạn nên thay thế (các) tệp từ bản sao lưu tốt đã biết cuối cùng.
- Cũng xác minh các bảng trong cơ sở dữ liệu của bạn như đã đề cập trong các bước cho OpenCart ở trên.
- Ngoài ra, trong thư mục wp-include: xóa các tệp wp-vcd.php và class.wp.php, trong thư mục wp-include: mở post.php và xóa thẻ php đầu tiên được thêm bởi Malware. Mở tệp functions.php của chủ đề và xóa các mã ở trên. (Đề xuất bởi Jaber trong phần comments)
Các bước để ngăn ngừa tái nhiễm & Xác định nguyên nhân
- Cập nhật trang web OpenCart / WordPress của bạn lên phiên bản mới nhất: Để khắc phục mọi sự cố bảo mật đã biết trong lõi CMS
- Chặn các cuộc tấn công SQL Injection: Sử dụng một plugin bảo mật như Astra giúp chủ động phát hiện và chặn các cuộc tấn công SQL Injection (SQLi) trước khi chúng tiếp cận trang web của bạn.
- Thay đổi tên người dùng và mật khẩu của tài khoản quản trị viên: Vì vậy, hacker không tiếp tục có quyền truy cập vào trang web sau khi dọn dẹp phần mềm độc hại
- Thay đổi mật khẩu cơ sở dữ liệu Database: Như vậy hacker không thể kết nối trực tiếp đến cơ sở dữ liệu
- Thay đổi khóa mã hóa (Encryption keys): Để ngăn chặn các cuộc tấn công mật mã và tấn công khác
- Hạn chế quyền truy cập khu vực Quản trị chỉ vào các địa chỉ IP thuộc danh sách cho phép: Chỉ những quản trị viên được ủy quyền mới có thể truy cập khu vực quản trị viên.
- Gỡ cài đặt các plugin / tiện ích không sử dụng: Nếu không được sử dụng và không được update thường xuyên, chúng có thể chứa các sự cố bảo mật gây ra bởi hack vào các phiên bản cũ của các plugin / tiện ích được cài trên website.
- Quét nhật ký máy chủ (Server Logs) xem các Truy cập & Lỗi (Access & Error): Bạn có thể tìm thấy các lỗi không quen thuộc hoặc vô nghĩa trong nhật ký có thể cho biết nguồn và thời gian của bản hack.